Cavalo de troia sofisticado bypassa a segurança da Apple e do Google para coletar frases-semente de criptomoedas de fotos de dispositivos móveis, marcando uma escalada significativa em ataques direcionados a cripto.
Pesquisadores de segurança cibernética da Kaspersky descobriram uma nova campanha de malware móvel sofisticada chamada "SparkKitty" que conseguiu infiltrar-se tanto na App Store da Apple quanto na Play Store do Google, comprometendo mais de 5.000 usuários de criptomoedas na China e no Sudeste Asiático.
O malware foca no roubo de capturas de tela de frases-semente de carteiras armazenadas em galerias de telefones móveis, representando uma evolução significativa em ataques que exploram vulnerabilidades de segurança móvel fundamentais.
O malware está ativo desde pelo menos o início de 2024, de acordo com o último relatório de segurança da Kaspersky lançado esta semana. Ao contrário dos métodos tradicionais de distribuição de malware, o SparkKitty obteve um sucesso notável ao se embutir em aplicativos com aparência legítima em ambas as grandes plataformas móveis, incluindo ferramentas de rastreamento de preços de cripto, aplicativos de jogos e versões modificadas de aplicativos populares de mídia social como o TikTok.
O aspecto mais preocupante desta campanha é a sua bem-sucedida evasão do rigoroso processo de revisão da App Store da Apple e dos sistemas de segurança Play Protect do Google. Um aplicativo de mensageiro comprometido, o SOEX, alcançou mais de 10.000 downloads antes da detecção e remoção, demonstrando a capacidade do malware de operar sem ser detectado dentro dos ecossistemas oficiais de aplicativos por períodos prolongados.
Metodologia Avançada de Coleta de Dados
O SparkKitty representa um avanço técnico significativo sobre seu predecessor, o SparkCat, identificado pela primeira vez em janeiro de 2025. Ao contrário do malware tradicional que visa seletivamente dados sensíveis, o SparkKitty rouba indiscriminadamente todas as imagens de dispositivos infectados, criando bancos de dados completos de fotos de usuários que são subsequentemente enviadas para servidores remotos para análise.
O malware opera através de um processo sofisticado em várias etapas. Após a instalação através de perfis de provisionamento enganadores, o SparkKitty solicita permissões padrão de acesso à galeria de fotos - um pedido que parece rotineiro para a maioria dos usuários. Uma vez concedido o acesso, o trojan monitora continuamente a biblioteca de fotos do dispositivo em busca de mudanças, criando bancos de dados locais de imagens capturadas antes de transmiti-las para servidores controlados por atacantes.
Os pesquisadores da Kaspersky destacam que o objetivo principal dos atacantes parece ser identificar e extrair frases-semente de carteiras de criptomoedas de capturas de tela armazenadas em dispositivos infectados. Estas frases de recuperação de 12-24 palavras fornecem acesso completo aos ativos digitais dos usuários, tornando-as alvos extremamente valiosos para os cibercriminosos.
O surgimento do SparkKitty ocorre em um cenário de aumento de crimes cibernéticos focados em criptomoedas. De acordo com a análise de 2024 da TRM Labs, quase 70% dos $2,2 bilhões em criptomoedas roubadas resultaram de ataques à infraestrutura, particularmente aqueles envolvendo o roubo de chaves privadas e frases-semente. Em janeiro de 2025, 9.220 vítimas perderam $10,25 milhões para golpes de phishing de criptomoedas, destacando a natureza persistente e em evolução das ameaças direcionadas a criptoativos.
O foco geográfico atual do malware na China e no Sudeste Asiático reflete tendências mais amplas de adoção de criptomoedas e alvos de cibercriminosos. No entanto, especialistas em segurança alertam que as capacidades técnicas do SparkKitty e sua eficácia comprovada tornam a expansão global altamente provável. A capacidade do malware de infiltrar-se em lojas de aplicativos oficiais sugere que nenhum ecossistema móvel está imune a ataques sofisticados direcionados a criptoativos.
Evolução Técnica e Atribuição
Análises forenses revelam conexões significativas entre o SparkKitty e a campanha de malware anterior, SparkCat. Ambos os trojans compartilham símbolos de depuração, padrões de construção de código e vários aplicativos vetores comprometidos, sugerindo desenvolvimento coordenado pelos mesmos atores ameaçadores. No entanto, o SparkKitty demonstra refinamentos técnicos notáveis, incluindo capacidades aprimoradas de coleta de dados e técnicas de evasão melhoradas.
O SparkCat especificamente visava frases de recuperação de carteiras de criptomoedas empregando tecnologia de reconhecimento óptico de caracteres para extrair essas frases de imagens, enquanto o SparkKitty adota uma abordagem mais ampla ao coletar todos os dados de imagem disponíveis para processamento posterior. Esta evolução sugere que os atacantes estão otimizando suas operações para máxima eficiência de coleta de dados enquanto reduzem o processamento no dispositivo que pode desencadear alertas de segurança.
A campanha SparkKitty expõe vulnerabilidades fundamentais nas práticas de segurança de criptomoedas móveis. Muitos usuários rotineiramente fazem capturas de tela de suas frases-semente por conveniência, criando cópias digitais que se tornam alvos principais para malwares como SparkKitty. Esta prática, embora compreensível do ponto de vista da experiência do usuário, cria vulnerabilidades críticas de segurança que atacantes sofisticados estão explorando cada vez mais.
Pesquisadores de segurança enfatizam que a ameaça se estende além dos usuários individuais para o ecossistema de criptomoedas em geral. Todos os dias, são detectadas 560.000 novas peças de malware, com plataformas móveis se tornando alvos cada vez mais atraentes à medida que a adoção de criptomoedas acelera globalmente.
O sucesso do malware em contornar medidas de segurança de lojas de aplicativos também levanta questões sobre a eficácia dos atuais frameworks de segurança móvel. Tanto a Apple quanto o Google implementaram processos de revisão sofisticados projetados para impedir que aplicativos maliciosos cheguem aos usuários, mas a infiltração bem-sucedida do SparkKitty demonstra que atacantes determinados ainda podem contornar essas proteções.
Resposta do setor e Medidas Defensivas
Após a divulgação da Kaspersky, tanto a Apple quanto o Google iniciaram procedimentos de remoção para os aplicativos infectados com SparkKitty identificados. No entanto, a natureza dinâmica da ameaça significa que novas variantes podem continuar a surgir, requerendo vigilância contínua tanto de pesquisadores de segurança quanto de operadores de lojas de aplicativos.
Especialistas em segurança de criptomoedas estão recomendando medidas defensivas imediatas para usuários de carteiras móveis. As principais recomendações incluem evitar o armazenamento digital de frases-semente inteiramente, utilizar carteiras de hardware para grandes quantidades e implementar auditorias rigorosas de permissões de aplicativos. Os usuários são aconselhados a revisar as galerias de fotos existentes em busca de quaisquer credenciais de carteira armazenadas e a excluir tais imagens imediatamente.
O incidente também levou a discussões renovadas sobre padrões de segurança de criptomoedas móveis. Líderes da indústria estão pedindo requisitos de segurança aprimorados para aplicativos móveis relacionados a criptomoedas, incluindo auditorias de segurança obrigatórias e modelos de permissão mais rigorosos para aplicativos que lidam com dados financeiros sensíveis.
Enquanto o SparkKitty atualmente foca nos mercados asiáticos, especialistas em segurança cibernética alertam que a expansão global parece inevitável. A eficácia comprovada do malware e a natureza universal do uso de criptomoedas móveis sugerem que os mercados ocidentais podem em breve enfrentar ameaças semelhantes. Até 2025, o cibercrime - incluindo ataques impulsionados por malware - pode custar à economia global $10,5 trilhões anualmente, com malware direcionado a criptomoedas representando um componente crescente deste cenário de ameaça.
A natureza sofisticada das capacidades de infiltração em lojas de aplicativos do SparkKitty sugere que campanhas semelhantes já podem estar em andamento em outras regiões. Pesquisadores de segurança estão pedindo cooperação internacional aprimorada no combate ao malware de criptomoedas móveis, incluindo o compartilhamento de informações melhorado entre operadores de lojas de aplicativos e organizações de segurança cibernética.
Avaliação de Ameaças Futuras
A campanha SparkKitty representa uma escalada significativa nas ameaças móveis a criptomoedas, combinando capacidades técnicas sofisticadas com mecanismos de distribuição comprovados. À medida que a adoção de criptomoedas continua se expandindo globalmente, ameaças semelhantes provavelmente aumentarão tanto em frequência quanto em sofisticação.
Especialistas em segurança preveem que futuras iterações de malware direcionado a criptomoedas provavelmente incorporarão técnicas adicionais de evasão, incluindo métodos aprimorados de bypass de lojas de aplicativos e capacidades de exfiltração de dados mais sofisticadas. O sucesso da abordagem de coleta de fotos do SparkKitty pode inspirar outras famílias de malware a adotarem metodologias semelhantes, criando um ambiente de ameaça crescente para usuários móveis de criptomoedas.
O incidente destaca a importância crítica de práticas robustas de segurança móvel para detentores de criptomoedas. À medida que os valores dos ativos digitais continuam subindo e a adoção se expande, dispositivos móveis representam alvos cada vez mais atraentes para organizações cibercriminosas sofisticadas.
Os usuários devem adaptar suas práticas de segurança de acordo, priorizando o uso de carteiras de hardware e eliminando o armazenamento digital de frases-semente para proteger suas participações em criptomoedas de ameaças evolutivas de malware móvel.