Pesquisadores da Kaspersky identificaram uma nova ameaça cibernética chamada SparkKitty, um trojan espião que tem como alvo smartphones com sistemas iOS e Android. O malware é capaz de extrair imagens do dispositivo infectado e coletar diversas informações sensíveis, sendo disseminado por meio de aplicativos falsos relacionados a criptomoedas, apostas online e até uma versão trojanizada do TikTok. Esses apps maliciosos estavam disponíveis tanto na App Store quanto no Google Play, além de serem promovidos em sites fraudulentos.
De acordo com a Kaspersky, o principal objetivo da campanha é o roubo de ativos em criptomoedas. A empresa notificou Apple e Google sobre a presença desses aplicativos comprometidos em suas lojas.
Os especialistas suspeitam que o SparkKitty esteja ligado a um trojan anterior, o SparkCat — o primeiro de seu tipo a atingir o sistema iOS. O SparkCat utilizava tecnologia de Reconhecimento Ótico de Caracteres (OCR) para examinar imagens salvas no dispositivo e identificar frases de recuperação de carteiras digitais ou senhas, o que elevou o nível da ameaça. Com o SparkKitty, esta é a segunda vez em menos de um ano que um trojan com foco em roubo de criptoativos é identificado na App Store.
No ecossistema da Apple, o SparkKitty se passava por um app de criptomoedas chamado “?coin”, sendo promovido por páginas de phishing que imitavam a loja oficial da Apple. Também foram utilizadas versões modificadas do TikTok, distribuídas por meio de sites que simulavam a App Store e empregavam ferramentas legítimas de desenvolvedores, como perfis de provisionamento e certificados empresariais — mecanismos geralmente usados para testes internos.
“Mesmo com as restrições do iOS, os criminosos exploraram brechas no uso de certificados corporativos para instalar aplicativos maliciosos. No caso do TikTok modificado, o app não apenas roubava imagens da galeria durante o login, como também adicionava links suspeitos no perfil do usuário, direcionando para uma loja que aceitava apenas criptomoedas”, explica Leandro Cuozzo, analista de segurança da equipe de Pesquisa e Análise Global da Kaspersky para a América Latina.
No Android, a abordagem foi semelhante. O malware era disfarçado em apps relacionados a criptomoedas, tanto em sites de terceiros quanto na própria Google Play. Um exemplo foi o aplicativo SOEX, um mensageiro com recursos de troca de criptos, que ultrapassou 10 mil downloads antes de ser identificado como malicioso.
