Aplicativos infectados já haviam sido encontrados na Play Store, mas é a primeira vez que isso ocorre na App Store
A empresa de segurança Kaspersky detectou, pela primeira vez, um vírus em aplicativos disponíveis na Apple Store capaz de ler e roubar fotos da galeria do aparelho. Chamado de SparkCat, o malware está configurado para roubar dados de carteiras de cripto ativos, mas pode ter sua proposta redefinida com facilidade para acessar qualquer informação valiosa.
A empresa identificou até o momento dez aplicativos maliciosos no Google Play e 11 na App Store, que já foram removidos das plataformas. Alguns deles são legítimos, como apps de entrega, enquanto outros são serviços de mensagens desenhados como iscas.
No momento da análise, os downloads dos aplicativos maliciosos no Google Play já ultrapassavam 240 mil. Os ataques estão ocorrendo desde de, pelo menos, março de 2024 e parece ter como alvo principal usuários na Europa e na Ásia.
Os aplicativos infectados precisam pedir autorização para acessar a galeria. Isso pode fazer sentido em alguns casos, por exemplo, um aplicativo de mensagem pode pedir autorização para o envio de imagens por meio dele.
Para reduzir riscos de ter o dispositivo infectado, a Kaspersky recomenda baixar apenas apps com milhões de downloads e que já circulam há alguns meses, além de verificar o site dos desenvolvedores.
Como funciona?
De acordo com o estudo, ao baixar um aplicativo infectado, o usuário precisará conceder algumas permissões, incluindo o acesso à galeria de imagens do iPhone. Com a permissão concedida, o SparkCat começa a usar o reconhecimento óptico de caracteres para analisar o texto das imagens. Caso encontre palavras-chave importantes, a imagem é enviada para os criminosos por trás do vírus. O principal alvo são as frases de recuperação de carteiras de criptomoeda, que, se capturadas, permitem o roubo de fundos. Além disso, o malware pode extrair outros dados pessoais, como senhas e mensagens, de capturas de tela.
“A campanha SparkCat tem algumas características únicas que a tornam perigosa. Em primeiro lugar, ela se espalha por lojas de aplicativos oficiais e opera sem sinais óbvios de infecção. A furtividade deste Trojan torna difícil descobri-lo tanto para moderadores das lojas quanto para os usuários móveis. Além disso, as permissões que ele solicita parecem razoáveis, o que as torna fáceis de ignorar. O acesso à galeria que o malware tenta alcançar pode parecer essencial para o bom funcionamento do aplicativo, já que é assim que ele aparece para o usuário. Essa permissão é normalmente solicitada em contextos relevantes, como quando os usuários entram em contato com o suporte ao cliente”, diz Dmitry Kalinin, analista de malware da Kaspersky, no comunicado da empresa.
Recomendações para evitar ataques
Para evitar ser vítima do SparkCat, a Kaspersky recomenda evitar armazenar capturas de tela que contenham informações sensíveis na galeria de imagens, incluindo frases de recuperação de carteiras de criptomoeda. Além disso, a empresa sugere buscar softwares de cibersegurança confiáveis e, caso identifique que um aplicativo infectado foi instalado, removê-lo do dispositivo e não utilizá-lo até que uma atualização seja lançada contra a ação do malware.