O surgimento de kits de desenvolvimento de software (SDKs) maliciosos voltados para usuários da Google Play Store e da Apple App Store despertou grande preocupação entre especialistas em segurança cibernética. Um relatório recente divulgado pela Kaspersky Labs revelou a existência de um malware específico chamado SparkCat. Esse malware analisa as imagens dos usuários em busca de frases de recuperação associadas a carteiras de criptomoedas, permitindo que os fundos dessas carteiras sejam drenados.
Após infectar um dispositivo, o SparkCat utiliza um ladrão de reconhecimento óptico de caracteres (OCR) para identificar imagens que contenham palavras-chave específicas em diversos idiomas. As frases de recuperação obtidas a partir dessas imagens permitem que os invasores assumam o controle total sobre os criptoativos das vítimas. Além de buscar por frases de recuperação, o SparkCat também pode acessar outros dados pessoais confidenciais armazenados na galeria do dispositivo, incluindo conteúdo de mensagens e senhas registradas em capturas de tela.
Segundo os especialistas da Kaspersky, os usuários devem evitar armazenar informações confidenciais em capturas de tela ou galerias de fotos; em vez disso, eles aconselham optar por gerenciadores de senhas para reforçar a segurança. Além disso, eles destacam a importância de desinstalar todos os aplicativos suspeitos ou potencialmente infectados a fim de reduzir a exposição a ameaças cibernéticas.
Em dispositivos Android, o SparkCat se disfarça como um componente Java chamado Spark, mascarando-se como um módulo de análise enquanto obtém instruções operacionais de um arquivo de configuração criptografado no GitLab. O malware explora a tecnologia ML Kit OCR do Google para extrair texto de imagens, permitindo que os hackers adicionem carteiras de criptoativos indesejadas em seus dispositivos sem a necessidade de inserir a senha.
Desde que foi identificado em março de 2024, o SparkCat já foi baixado cerca de 242.000 vezes, impactando principalmente usuários na Europa e na Ásia. O malware foi encontrado tanto em apps legítimos quanto em versões falsificadas disponíveis nas principais lojas de apps, desenvolvido com linguagens de programação raras e recursos de plataforma cruzada que desafiam ainda mais sua detecção.
Embora a origem exata do SparkCat ainda não tenha sido determinada, os pesquisadores da Kaspersky identificaram semelhanças com uma campanha anterior documentada pela ESET. A presença de comentários em chinês dentro do código-fonte sugere que os desenvolvedores podem ter fluência no idioma, levantando hipóteses sobre uma possível origem geográfica para a ameaça.
