A Kaspersky Labs identificou uma campanha de malware sofisticada que visa usuários de criptomoedas através de kits de desenvolvimento de software maliciosos incorporados em aplicativos móveis disponíveis no Google Play e na App Store da Apple. Nomeado "SparkCat", este malware utiliza reconhecimento óptico de caracteres para escanear fotos dos usuários em busca de frases de recuperação de carteiras de criptomoedas, que hackers usam para acessar e esvaziar carteiras afetadas.

Em um relatório abrangente datado de 4 de fevereiro de 2025, os pesquisadores da Kaspersky Sergey Puzan e Dmitry Kalinin detalharam como o malware SparkCat infiltra-se em dispositivos e procura imagens para frases de recuperação através da detecção de palavras-chave multilíngues. Uma vez obtidas essas frases, os atacantes ganham acesso irrestrito às carteiras cripto das vítimas. Os hackers, portanto, alcançam controle total sobre os fundos, como destacado pelos pesquisadores.

Além disso, o malware é projetado para roubar informações sensíveis adicionais, como senhas e mensagens privadas capturadas em screenshots. Especificamente em dispositivos Android, o SparkCat disfarça-se como um módulo de análises baseado em Java chamado Spark. O malware recebe atualizações operacionais de um arquivo de configuração criptografado no GitLab e usa o OCR do ML Kit do Google para extrair texto de imagens em dispositivos infectados. A detecção de uma frase de recuperação resulta no envio desta informação de volta aos atacantes, permitindo-lhes importar a carteira cripto da vítima em seus dispositivos.

A Kaspersky estima que, desde seu surgimento em março de 2023, o SparkCat foi baixado cerca de 242.000 vezes, impactando predominantemente usuários na Europa e Ásia.

Em um relatório separado, mas relacionado, de meados de 2024, a Kaspersky tem monitorado outra campanha de malware Android envolvendo APKs enganosos como o Tria Stealer, que intercepta mensagens SMS e registros de chamadas, e rouba dados do Gmail.

A presença desse malware abrange inúmeros aplicativos, alguns aparentemente legítimos como serviços de entrega de comida, e outros projetados para atrair usuários desprevenidos, como aplicativos de mensagens habilitados por IA. Características comuns entre esses aplicativos infectados incluem o uso da linguagem de programação Rust, capacidades multiplataforma e métodos sofisticados de ofuscação para evitar detecção.

As origens do SparkCat permanecem incertas. Os pesquisadores não atribuíram o malware a nenhum grupo de hackers conhecido, mas notaram comentários em chinês e mensagens de erro dentro do código, sugerindo fluência em chinês por parte do desenvolvedor. Embora compartilhe semelhanças com uma campanha descoberta pela ESET em março de 2023, sua origem exata permanece não identificada.

A Kaspersky recomenda fortemente que os usuários evitem armazenar informações sensíveis como frases de recuperação de carteiras cripto em suas galerias de fotos. Em vez disso, recomenda-se o uso de gerenciadores de senhas e uma varredura regular para eliminar aplicativos suspeitos.

As descobertas foram originalmente relatadas no 99Bitcoins no artigo intitulado "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."