Os pesquisadores de Kaspersky têm identificado Uma campanha de malware, apelidada de Sparkcat, distribuindo aplicações maliciosas nas plataformas Android e iOS desde março de 2024. Este malware emprega o reconhecimento de caracteres ópticos (OCR) para digitalizar bibliotecas de fotos em busca de frases de recuperação de carteira de criptomoeda.
“O Kaspersky Threat Research Center descobriu um novo Trojan, Sparkcat, ativo em AppStore e Google Play desde pelo menos março de 2024. Este é o primeiro exemplo conhecido de malware baseado em reconhecimento óptico que aparece na AppStore. O Sparkcat usa aprendizado de máquina para digitalizar galerias de imagens e roubar capturas de tela contendo frases de recuperação de carteira de criptomoeda. Também pode encontrar e extrair outros dados confidenciais em imagens, como senhas. ”
-Kaspersky
Kaspersky identifica malware sparkcat direcionando carteiras de criptografia no iOS e Android
O investigaçãoconduzido por Dmitry Kalinin e Sergey Puzan, observou que, embora alguns dos aplicativos afetados, como serviços de entrega de alimentos, pareçam legítimos, outros parecem enganar deliberadamente usuários. Em 6 de fevereiro, a Kaspersky confirmou que os aplicativos afetados haviam sido removidos da App Store, com a Apple relatando a exclusão de 11 aplicativos que compartilharam código com 89 aplicativos adicionais rejeitados ou removidos devido a preocupações de segurança.
O malware foi encontrado principalmente em um aplicativo iOS chamado Comecome, que também aparece no Google Play. De acordo com a Kaspersky, este aplicativo foi projetado para aproveitar o acesso à criptomoeda dos usuários, capturando capturas de tela contendo frases de recuperação, também chamadas de frases de sementes. O malware opera usando um kit de desenvolvimento de software malicioso (SDK) que descriptografa um plug -in OCR, que facilita a digitalização das capturas de tela de dispositivos móveis.
Kaspersky destacou que os aplicativos infectados do Google Play foram baixados mais de 242.000 vezes. Este incidente marca a primeira descoberta de um aplicativo infectado com Spyware OCR na App Store da Apple, desafiando a noção de infalibilidade da plataforma contra ameaças de malware.
Malware flexível-Ferret tem como alvo os usuários de Mac, evitando medidas XProtect
O malware não apenas tem como alvo as frases de recuperação de carteira de criptografia, mas também é flexível o suficiente para extrair outras informações confidenciais da galeria, como mensagens ou senhas capturadas nas capturas de tela. Os pesquisadores enfatizaram que os pedidos de permissões do malware podem parecer benignos ou necessários, permitindo que ela evite a detecção.
Estima -se que a campanha de malware Sparkcat atinja os usuários do Android e do iOS principalmente na Europa e na Ásia. Kaspersky observou que o método exato de infecção ainda está sob investigação, pois não pode confirmar se o Sparkcat foi introduzido por meio de um ataque da cadeia de suprimentos ou ações maliciosas do desenvolvedor.
Em resultados relacionados, o Spark abrange um módulo ofuscado identificado como Spark, escrito principalmente em Java, que se comunica com um servidor remoto de comando e controle (C2) por meio de um protocolo baseado em ferrugem. Ao se conectar ao servidor C2, o malware utiliza a interface TextRecognizer da Biblioteca ML do Google para extrair texto das imagens.
Análises adicionais revelaram que a natureza enganosa do malware permite que ele indique os usuários a conceder acesso às suas bibliotecas de fotos depois de capturar capturas de tela das frases de recuperação. O relatório detalhado de Kaspersky afirmou que “as permissões que ele solicita podem parecer que são necessárias para sua funcionalidade principal ou parecem inofensivas à primeira vista”.
Crédito da imagem em destaque: Kerem Gülen/ideograma
