SparkKitty no App Store e Play Store é malware que rouba fotos
São Paulo — InkDesign News —
Pesquisadores de cibersegurança da Kaspersky identificaram uma nova operação de spyware, denominada SparkKitty, que infecta aplicativos disponíveis tanto na App Store oficial da Apple quanto no Google Play. O malware, que tem como objetivo roubar todas as imagens dos dispositivos móveis, está suspeito de se concentrar na obtenção de informações relacionadas a criptomoedas e está ativo desde o início de 2024, principalmente visando usuários na Sudeste Asiático e na China.
Incidente e vulnerabilidade
O spyware SparkKitty se infiltra em dispositivos através de aplicações que aparentam ser inofensivas, frequentemente disfarçadas como versões modificadas de aplicativos populares, como TikTok. No caso das versões maliciosas do TikTok, elas incluíam uma loja online falsa chamada TikToki Mall, que aceitava criptomoeda para bens de consumo, geralmente exigindo um código de convite para acesso. A Kaspersky relata que, para dispositivos iOS, os atacantes utilizam um perfil de provisionamento Enterprise especial do Programa de Desenvolvedores da Apple. Isso permite que eles instalem certificados nos iPhones, fazendo com que os aplicativos maliciosos pareçam confiáveis, contornando o processo usual de revisão da App Store para distribuição direta.
“Os atores da ameaça incorporaram seu código malicioso modificando bibliotecas de rede de código aberto como AFNetworking.framework e Alamofire.framework, além de disfarçá-lo como libswiftDarwin.dylib.”
(“Threat actors embedded their malicious code by modifying open-source networking libraries like AFNetworking.framework and Alamofire.framework, and also disguised it as libswiftDarwin.dylib.”)
Impacto e resposta
No lado do Android, pesquisadores da Kaspersky descobriram o spyware SparkKitty oculto em diversos aplicativos de criptomoeda e cassino. Um aplicativo de mensagens com recursos de criptografia foi baixado mais de 10.000 vezes no Google Play antes de ser removido. Após a instalação, o objetivo principal do spyware SparkKitty é acessar e roubar todas as fotos da galeria do dispositivo. Em algumas versões, o SparkKitty também faz uso de Reconhecimento Óptico de Caracteres (OCR), uma tecnologia que lê texto a partir de imagens, para encontrar e roubar detalhes como frases de recuperação de carteiras de criptomoedas a partir de capturas de tela.
Mitigações recomendadas
De acordo com os especialistas, é crucial que os usuários permaneçam cautelosos em relação às permissões de aplicativos e considerem a legitimidade de qualquer aplicativo que solicite acesso incomum, especialmente à galeria de fotos. A Kaspersky recomenda a instalação de patches e práticas seguras, como evitar o download de aplicativos de fontes não confiáveis e verificar as avaliações e permissões de aplicativos antes da instalação. “Usuários na região afetada, e de fato globalmente, devem continuar a adotar cautela em relação a aplicativos que solicitam acesso a informações sensíveis.”
(“Users in the affected regions, and indeed globally, should remain cautious about app permissions.”)
Os riscos residuais incluem a possibilidade de variantes futuras do spyware e a necessidade de vigilância constante em relação a novas ameaças de cibersegurança. Organizações e indivíduos devem adotar práticas preventivas e manter seus sistemas atualizados com as últimas medidas de segurança.
Fonte: (Hack Read – Segurança Cibernética)
