Poderoso malware usa Inteligência Artificial para roubar criptomoedas em Android e iOS

O centro de pesquisa de ameaças da Kaspersky identificou um novo trojan de roubo de dados chamado SparkCat, com potencial para roubar criptomoedas e está ativo na App Store e no Google Play desde pelo menos março de 2024.

De acordo com o relatório, essa é a primeira vez que um malware baseado em reconhecimento óptico de caracteres (OCR) aparece na loja de aplicativos da Apple.

Conforme explicou a Kaspersky, o SparkCat utiliza inteligência artificial (IA) para analisar imagens na galeria dos usuários e roubar frases de recuperação de carteiras de criptomoedas, além de outros dados sensíveis, como senhas.

A Kaspersky informou que já notificou Google e Apple sobre os aplicativos maliciosos identificados.

Como o malware se espalha

O SparkCat está se disseminando por meio de aplicativos legítimos infectados e iscas. A lista inclui mensageiros, assistentes de IA, serviços de entrega de comida e aplicativos relacionados a criptomoedas.

Algumas dessas aplicações estão disponíveis no Google Play e na App Store. Mas fontes não oficiais de aplicativos também estão distribuindo as aplicações maliciosas.

De acordo com a Kaspersky, apenas no Google Play, já houve mais de 242.000 downloads dos aplicativos infectados.

• Leia também: Criador do Tornado Cash é libertado após 32 meses; Token TORN salta 20%

Quem está sendo alvo

O malware ataca principalmente usuários nos Emirados Árabes Unidos, Europa e Ásia. O SparkCat é capaz de analisar imagens em vários idiomas, incluindo português, chinês, japonês, coreano, inglês, tcheco, francês, italiano e polonês. No entanto, especialistas alertam que usuários de outras regiões também podem estar vulneráveis.

Depois de instalado, o malware solicita acesso à galeria de imagens do dispositivo e utiliza um módulo de OCR para analisar o texto contido nas capturas de tela e fotos armazenadas. Caso identifique palavras-chave relacionadas a frases de recuperação de carteiras de criptomoedas, o app envia as imagens para os invasores, permitindo que assumam o controle dos ativos digitais da vítima.

Os criminosos estão utilizando redes neurais e aprendizado de máquina para aprimorar suas ferramentas maliciosas. No caso do SparkCat, o módulo para Android descriptografa e executa um plugin de OCR usando a biblioteca Google ML Kit para reconhecer textos em imagens armazenadas. A versão para iOS emprega um método semelhante.

Medidas de proteção

A Kaspersky afirma que suas soluções de segurança já detectam e bloqueiam o malware SparkCat, identificando-o como HEUR:Trojan.IphoneOS.SparkCat. e HEUR:Trojan.AndroidOS.SparkCat.**.

Para evitar ser vítima desse ataque, a empresa recomenda:

• Excluir aplicativos infectados do dispositivo e aguardar atualizações que removam a funcionalidade maliciosa;
• Evitar armazenar capturas de tela com informações sensíveis, incluindo frases de recuperação de carteiras de criptomoedas;
• Utilizar gerenciadores de senhas para armazenar credenciais com segurança;
• Instalar softwares de segurança confiáveis para detectar ameaças e impedir infecções.

Um relatório detalhado sobre a campanha SparkCat está disponível no Securelist, portal de análise de ameaças da Kaspersky.

• Leia também: Telegram obriga todas as carteiras a usarem rede TON e gera polêmica