Aviso de Segurança Cripto: O Malware SparkCat Analisa Suas Fotos em Busca de Chaves da Carteira - Notícias Cripto Rápidas

• Usando o Google ML Kit para extração de texto, o SparkCat transmite dados roubados através de canais de comunicação criptografados, tornando a deteção difícil.
• Os métodos de ataque exclusivos do SparkCat incluem um framework Objective-C no iOS e um SDK baseado em Java no Android.

Um novo malware, SparkCat, de acordo com um relatório de 4 de fevereiro da empresa de cibersegurança Kaspersky, surgiu como um desafio para os usuários de criptomoedas em Android e iOS. O malware apareceu incorporado em outras aplicações que parecem inofensivas. Além disso, ele obtém os detalhes importantes de um usuário do seu dispositivo móvel por meio de uma abordagem sofisticada.

SparkCat Utiliza Reconhecimento Ótico de Caracteres para Roubos

SparkCat verifica as imagens guardadas na galeria de um dispositivo para frases de recuperação da carteira de criptomoedas. Ele realiza sua verificação através do Reconhecimento Óptico de Caracteres, uma tecnologia que captura texto de imagens. Os usuários que salvaram algumas capturas de tela e notas relacionadas às carteiras são potenciais vítimas de comprometimento de dados.

Este malware começou a operar em março de 2024 e infectou aplicações, incluindo apps de mensagens de IA e serviços de pedidos de comida na Google Play Store e na App Store da Apple. Curiosamente, é a primeira vez que este tipo de malware baseado em OCR rouba criptomoedas usando dispositivos da Apple.

No Android, ele se espalha através de um SDK chamado Spark, que é baseado em Java, disfarçando-se como um módulo de análise e sendo injetado em aplicativos. Quando o usuário inicia o aplicativo infectado, o malware recuperará um arquivo de configuração criptografado de um repositório remoto do GitLab.

Uma vez ativado, SparkCat usa a funcionalidade OCR do Google ML Kit para escanear imagens na galeria do dispositivo. Ele busca por palavras-chave relacionadas a frases de recuperação de carteira de criptomoedas em vários idiomas, incluindo inglês, chinês, japonês, coreano e vários idiomas europeus, conforme relatado pela KasperSky.

O malware envia imagens para um servidor controlado pelo atacante para exfiltrar dados roubados. Os métodos de transferência incluem o uso de armazenamento em nuvem da Amazon, juntamente com o protocolo baseado em Rust. Isso torna realmente difícil rastrear porque envolve canais de comunicação criptografados e técnicas de transmissão de dados incomuns.

Compromisso do iOS Através de Framework Malicioso

A variante do iOS do SparkCat funciona de forma diferente, pois se incorpora a aplicativos comprometidos como um framework sob vários nomes, como GZIP, googleappsdk ou stat. Esse framework malicioso, escrito em Objective-C, é ofuscado usando HikariLLVM e integra o Google ML Kit para análise de imagens da galeria do dispositivo.

Ao contrário da versão do Android, no iOS, o malware solicita acesso à galeria de fotos apenas quando ações específicas são realizadas pelos utilizadores, como abrir um chat de suporte dentro de uma aplicação infectada. Isso minimiza a suspeita, permitindo que o malware recupere informações relacionadas à carteira.

O relatório da Kaspersky afirma que, além das frases de recuperação, o malware é capaz de roubar outros dados sensíveis. Isso inclui senhas armazenadas e o conteúdo de mensagens capturadas em capturas de tela. Especialistas em segurança estimam que o SparkCat já comprometeu mais de 242.000 dispositivos, principalmente na Europa e na Ásia.

No entanto, a origem do malware é desconhecida. Com base em comentários de código e mensagens de erro, pode-se determinar que os desenvolvedores falam chinês. Os ataques de malware a usuários de criptomoedas continuam a aumentar, com os cibercriminosos encontrando repetidamente maneiras de contornar as medidas de segurança impostas pelos mercados de aplicativos.

Em setembro de 2024, a Binance sinalizou o malware Clipper, que substituiu os endereços de carteira copiados por endereços controlados pelo atacante. Isso leva as vítimas a enviar fundos para destinos fraudulentos sem saber. Como discutimos, no ano passado, em 2024, os investidores perderam mais de $3 bilhões em golpes e hacks de criptomoedas