Identificamos aplicativos na App Store e no Google Play que roubam dados de carteiras de criptomoedas ao analisar fotos.
A galeria do seu smartphone pode armazenar fotos e capturas de tela com informações sensíveis, como documentos, dados bancários ou até frases-chave para recuperar carteiras de criptomoedas. Todos esses dados estão em risco de serem roubados por aplicativos maliciosos, como o malware SparkCat, que descobrimos. Atualmente, esse malware é projetado para roubar dados de carteiras de criptomoedas, mas pode ser facilmente adaptado para furtar qualquer outra informação valiosa.
O mais alarmante é que o SparkCat chegou às lojas de aplicativos oficiais, com quase 250 mil downloads de apps infectados apenas no Google Play. Embora já tenha havido casos de aplicativos maliciosos no Google Play, esta é a primeira vez que um cavalo de troia destinado ao roubo de dados é detectado na App Store. Como essa ameaça opera e o que podemos fazer para nos proteger?
Recursos extras maliciosos para aplicativos legítimos
Os aplicativos que contêm componentes maliciosos do SparkCat podem ser classificados em duas categorias. A primeira inclui apps falsos, como diversos aplicativos de mensagens com funcionalidades de IA, todos desenvolvidos pelo mesmo autor, criados deliberadamente como isca. A segunda categoria abrange aplicativos legítimos, como serviços de entrega de comida, leitores de notícias e carteiras de criptomoedas. Ainda não se sabe exatamente como o cavalo de troia foi inserido nesses aplicativos. Uma possibilidade é que tenha ocorrido por meio de um ataque à cadeia de suprimentos, onde um componente de terceiros usado no app foi comprometido. Outra hipótese é que os desenvolvedores tenham integrado intencionalmente o cavalo de troia em seus aplicativos.
 |
| O primeiro aplicativo no qual detectamos o SparkCat foi um serviço de entrega de comida chamado ComeCome, disponível nos Emirados Árabes Unidos e na Indonésia. O aplicativo infectado foi encontrado no Google Play e na App Store |
O malware de roubo analisa as fotos na galeria do smartphone e, para isso, todos os aplicativos infectados solicitam permissão para acessá-la. Em muitos casos, essa solicitação parece totalmente legítima. Por exemplo, o aplicativo de entrega de comida ComeCome pediu acesso ao chat de suporte ao cliente assim que o usuário abriu essa funcionalidade, o que pareceu natural. Outros aplicativos pedem permissão para acessar a galeria ao iniciar suas funções principais, algo que também parece inofensivo. Afinal, quem não gostaria de compartilhar fotos em um aplicativo de mensagens?
No entanto, assim que o usuário concede acesso à galeria ou a fotos específicas, o malware começa a vasculhar todas as imagens em busca de informações valiosas.
Roubo com tecnologia de IA
Para identificar dados de carteiras de criptomoedas entre fotos de gatos e pores do sol, o cavalo de troia utiliza um módulo de reconhecimento óptico de caracteres (OCR), baseado no Google ML Kit, uma biblioteca universal de aprendizado de máquina.
De acordo com as configurações de idioma do dispositivo, o SparkCat baixa modelos treinados para detectar o texto relevante nas imagens, como latim, coreano, chinês ou japonês. Após reconhecer o texto, o cavalo de troia o compara com um conjunto de regras carregadas de seu servidor de comando e controle. Além das palavras-chave da lista (como "mnemônico"), o filtro também pode ser acionado por padrões específicos, como combinações de letras sem sentido em códigos de backup ou certas sequências de palavras em frases iniciais.
 |
| Durante nossa análise, solicitamos uma lista de palavras-chave usadas para pesquisa de OCR dos servidores C2 do cavalo de troia. Os criminosos virtuais estão claramente interessados em frases usadas para recuperar o acesso a carteiras de criptomoedas, conhecidas como mnemônicos |
O cavalo de troia envia todas as fotos contendo texto potencialmente valioso para os servidores dos invasores, acompanhadas de informações detalhadas sobre o texto reconhecido e o dispositivo de onde a imagem foi extraída.
Escala e vítimas do ataque
Identificamos 10 aplicativos maliciosos no Google Play e 11 na App Store. No momento da publicação, todos os aplicativos comprometidos foram removidos das lojas. O total de downloads no Google Play ultrapassou 242 mil durante nossa análise, e nossos dados de telemetria indicam que o mesmo malware também estava disponível em outros sites e lojas de aplicativos não oficiais.
 |
| Entre os aplicativos infectados estão serviços de entrega populares e mensageiros com tecnologia de IA no Google Play e na App Store |
A julgar pelos dicionários do SparkCat, ele foi "treinado" para roubar dados de usuários em diversos países europeus e asiáticos, e as evidências sugerem que os ataques estão ocorrendo desde, pelo menos, março de 2024. Os responsáveis por esse malware provavelmente são fluentes em chinês. Mais detalhes sobre o SparkCat, incluindo seus aspectos técnicos, podem ser encontrados no relatório completo disponível no Securelist.
Como se proteger dos cavalos de troia com tecnologia OCR
Infelizmente, o antigo conselho de "baixe apenas aplicativos bem avaliados de lojas de aplicativos oficiais" já não é uma solução infalível. Até mesmo a App Store foi infiltrada por um verdadeiro malware de roubo de informações, e incidentes semelhantes têm ocorrido repetidamente no Google Play. Por isso, é necessário reforçar os critérios: baixe apenas aplicativos bem avaliados, com milhares, ou melhor ainda, milhões de downloads, e que tenham sido publicados há pelo menos alguns meses. Além disso, verifique os links dos aplicativos em fontes oficiais, como o site dos desenvolvedores, para garantir sua autenticidade, e leia as avaliações, especialmente as negativas. E, claro, não se esqueça de instalar um sistema de segurança abrangente em todos os seus smartphones e computadores.
 |
| Verificar as avaliações negativas do aplicativo ComeCome na App Store poderia ter desmotivado os usuários a baixá-lo |
É crucial ser extremamente cauteloso ao conceder permissões a novos aplicativos. No passado, essa preocupação estava mais voltada para as configurações de “acessibilidade”, mas agora sabemos que até mesmo conceder acesso à galeria pode resultar no roubo de dados pessoais. Se não tiver certeza absoluta sobre a legitimidade de um aplicativo, como um mensageiro não oficial ou uma versão modificada, evite conceder acesso total a todas as suas fotos e vídeos. Permita o acesso somente a fotos específicas quando for realmente necessário.
Armazenar documentos, senhas, dados bancários ou frases-chave na galeria do seu smartphone é altamente inseguro. Além do risco de malwares de roubo como o SparkCat, há sempre a possibilidade de alguém espionar as fotos ou de elas serem enviadas acidentalmente para um serviço de mensagens ou compartilhamento de arquivos. Essas informações devem ser armazenadas em aplicativos dedicados. Por exemplo, o Kaspersky Password Manager permite armazenar e sincronizar com segurança não apenas senhas e tokens de autenticação de dois fatores, mas também detalhes de cartões bancários e documentos verificados em todos os seus dispositivos, tudo de forma criptografada. Vale ressaltar que este aplicativo está disponível com o Kaspersky Plus e as assinaturas Kaspersky Premium.
Se você já tiver instalado um aplicativo infectado (a lista está disponível no post do Securelist), exclua-o imediatamente e não o utilize até que o desenvolvedor libere uma versão corrigida. Enquanto isso, faça uma análise cuidadosa da sua galeria de fotos para verificar quais dados podem ter sido acessados pelos criminosos virtuais. Altere todas as senhas e bloqueie todos os cartões armazenados na galeria. Embora a versão do SparkCat que descobrimos busque especificamente frases-semente, o cavalo de troia pode ser reconfigurado para roubar outras informações. No caso das frases-semente de carteiras de criptomoedas, lembre-se de que, uma vez criadas, elas não podem ser alteradas. Portanto, crie uma nova carteira de criptomoedas, transfira todos os fundos da carteira comprometida para a nova e abandone completamente a carteira comprometida.
Nenhum comentário:
Postar um comentário