Uma nova e preocupante ameaça para a segurança dos utilizadores de smartphones Android e iOS foi descoberta por especialistas em cibersegurança. Denominado SparkKitty, este malware conseguiu infiltrar-se nas lojas oficiais de aplicações da Google e da Apple com um objetivo alarmante: roubar indiscriminadamente todas as imagens guardadas na galeria dos dispositivos infetados.
A investigação, conduzida pela Kaspersky, sugere que o SparkKitty é uma evolução de um malware anterior, o SparkCat. Embora o furto de toda a galeria de fotos seja por si só uma grave violação de privacidade, o alvo principal parece ser ainda mais específico e lucrativo.
Porque quer o SparkKitty as suas fotografias?
O principal objetivo do SparkKitty é surpreendentemente focado: encontrar frases de recuperação de carteiras de criptomoedas, também conhecidas como "seed phrases". Quando se cria uma carteira de criptoativos, é gerada uma frase única, tipicamente com 12 a 24 palavras. Esta frase é a chave mestra que permite restaurar o acesso à carteira e a todos os seus fundos em qualquer dispositivo.
Por conveniência, alguns utilizadores cometem o erro de tirar uma captura de ecrã (screenshot) desta frase, guardando-a na galeria do telemóvel. É precisamente esta prática de risco que o malware explora. Ao roubar todas as imagens, os cibercriminosos podem analisá-las, possivelmente com recurso a tecnologia de reconhecimento ótico de caracteres (OCR), em busca destas preciosas frases de recuperação para depois esvaziarem as carteiras das vítimas. Contudo, o perigo não se fica por aqui, pois as imagens roubadas podem conter outra informação sensível, abrindo portas a possíveis esquemas de extorsão.
Apps maliciosas passaram pelos filtros da Google e da Apple
O mais alarmante sobre a campanha do SparkKitty, ativa desde pelo menos fevereiro de 2024, é que utilizou as lojas oficiais como um dos seus canais de distribuição. O relatório da Kaspersky identificou duas aplicações maliciosas que albergaram o malware: a app "币coin" na App Store da Apple e a "SOEX" na Google Play.
A SOEX, uma aplicação de mensagens com funcionalidades de troca de criptomoedas, chegou a ultrapassar as 10.000 descargas antes de ser removida. Ambas as aplicações já foram eliminadas das respetivas lojas. Para além das lojas oficiais, o SparkKitty foi também encontrado em clones modificados do TikTok e outras apps de jogos ou apostas distribuídas através de canais não oficiais.
Os detalhes técnicos da infeção
A forma como o malware opera varia entre os dois sistemas operativos. Em dispositivos iOS, o SparkKitty escondia-se em "frameworks" de programação falsos ou era distribuído através de perfis de provisionamento empresariais, um método que permite instalar apps fora da App Store.
Já no ecossistema Android, o código malicioso era incorporado diretamente em aplicações de Java/Kotlin. Uma vez instalada, a aplicação solicitava permissões de acesso ao armazenamento do dispositivo. Se o utilizador concedesse essa permissão, o malware começava a enviar as imagens para um servidor de comando e controlo (C2) operado pelos atacantes.
Como pode proteger-se deste tipo de ameaça?
Este incidente é mais um lembrete de que nenhuma loja de aplicações é 100% infalível. A vigilância por parte do utilizador é fundamental. Para se proteger, siga estas recomendações:
- Nunca guarde a sua "seed phrase" em formato digital: A frase de recuperação da sua carteira de criptomoedas deve ser anotada em papel e guardada num local físico, seguro e offline. Jamais tire uma fotografia ou captura de ecrã da mesma.
- Seja cético com as permissões: Analise cuidadosamente as permissões que cada aplicação solicita. Uma app de mensagens precisa realmente de acesso total e constante à sua galeria de fotos? Se não fizer sentido para a funcionalidade principal da app, negue a permissão.
- Verifique a reputação da aplicação: Antes de instalar, verifique as críticas, o historial do programador e o número de descargas. Desconfie de apps com poucas descargas mas um número elevado de críticas positivas genéricas.
- Utilize as ferramentas de segurança do seu dispositivo: No Android, mantenha o Google Play Protect ativo. No iOS, evite instalar perfis de configuração de fontes não fidedignas.
Em comunicado, a Google afirmou que "a aplicação reportada foi removida da Google Play e o programador foi banido", acrescentando que os utilizadores Android estão automaticamente protegidos contra esta app através do Google Play Protect.
Nenhum comentário
Seja o primeiro!