Pesquisadores do laboratório de cibersegurança da Kaspersky descobriram um malware até então inédito em dispositivos iOS, capaz de burlar os esquemas rigorosos de segurança da Apple. A ameaça se esconde atrás de aplicativos falsos ou até legítimos e consegue ler conteúdos escritos em capturas de tela feitas pelo usuário.
Chamado de SparkCat, o esquema foi detectado em versões anteriores ainda em 2023, mas presente somente em dispositivos Windows e Android. Essa é a primeira vez que ele é identificado também na App Store, o que significa que ele usa um elaborado esquema de código para se manter escondido e burlar os filtros da loja digital.
No caso da Google Play Store, aplicativos infectados foram baixados ao menos 242 mil vezes antes da denúncia. Na maior parte dos casos, a ameaça se disfarça de serviços de inteligência artificial (IA) e outros utilitários. Além disso, ele parece também estar presente em plataformas verídicas, como um app de entrega de alimentos que provavelmente foi infectado por terceiros.
Como o SparkCat rouba suas imagens
O SparkCat atua inicialmente a partir de um mecanismo presente nos próprios smartphones. Quando a pessoa acessa determinada seção do app, como o chat de suporte com o desenvolvedor, ele pede ao usuário via notificação a permissão para acessar a galeria de imagens do aparelho.
Caso essa solicitação seja aceita, o malware vasculha a galeria de capturas de tela tiradas pela vítima e usa um mecanismo de leitura para identificar textos escritos nessas imagens. Os criminosos estão atrás de quem usa o formato de imagem da tela para guardar senhas e chaves de acesso, inclusive frases de recuperação de carteiras de criptomoedas.
Ao conseguir acesso a esses dados sensíveis, o malware então envia as imagens a um servidor em posse dos invasores, que conseguem roubar todos os criptoativos de um usuário. As palavras-chave identificadas pela Kaspersky incluem o português entre os idiomas, o que significa que países como o Brasil são alvos em potencial desse tipo de ataque.
Por enquanto, os pesquisadores não conseguiram descobrir se os apps foram infectados por um ataque em cadeia contra vários serviços verídicos ou são todos de contas fraudulentas de desenvolvedores. Até o momento, alguns dos serviços listados como perigosos, como os apps WeTing e AnyGPT de IA, seguem disponíveis na App Store. Google e Apple ainda não se manifestaram oficialmente sobre o assunto.