Spyware SparkKitty na App Store e Play Store rouba fotos para obter dados criptográficos

Pesquisadores de segurança cibernética da Kaspersky relataram uma nova operação de spyware, chamada SparkKitty, que infectou aplicativos disponíveis na App Store oficial da Apple e no Google Play.

Este spyware visa roubar todas as imagens dos dispositivos móveis dos usuários, com foco suspeito em encontrar informações sobre criptomoedas. A campanha está ativa desde o início de 2024, visando principalmente usuários no Sudeste Asiático e na China.

O spyware SparkKitty se infiltra em dispositivos por meio de aplicativos aparentemente inofensivos, muitas vezes disfarçados de versões modificadas de aplicativos populares como o TikTok . No caso das versões maliciosas do TikTok, eles até incluíram uma loja virtual falsa do TikToki Mall no aplicativo, que aceitava criptomoedas para bens de consumo, muitas vezes exigindo um código de convite para acesso.

De acordo com o relatório da Kaspersky, para dispositivos iOS, os invasores usam um perfil de provisionamento corporativo especial do Programa de Desenvolvedores da Apple. Isso permite que eles instalem certificados em iPhones que fazem os aplicativos maliciosos parecerem confiáveis, ignorando o processo usual de análise da App Store para distribuição direta.

Além disso, os agentes de ameaças incorporaram seu código malicioso modificando bibliotecas de rede de código aberto, como AFNetworking.framework e Alamofire.framework , e também o disfarçaram como libswiftDarwin.dylib .

No Android, a Kaspersky encontrou o spyware SparkKitty oculto em vários aplicativos de criptomoedas e cassinos. Um desses aplicativos, uma ferramenta de mensagens com recursos de criptomoedas, foi baixado mais de 10.000 vezes do Google Play antes de ser removido.

Outro aplicativo Android infectado, disseminado fora das lojas oficiais, teve uma versão semelhante que se infiltrou na App Store. Ambos incluíam o código malicioso diretamente no próprio aplicativo, não apenas como um componente separado.

Uma vez instalado, o principal objetivo do spyware SparkKitty é acessar e roubar todas as fotos da galeria de um dispositivo. Embora colete imagens de forma ampla, parece estar vinculado a um spyware mais antigo chamado SparkCat, que utilizava Reconhecimento Óptico de Caracteres ( OCR ), uma tecnologia que lê texto de imagens, para encontrar e roubar detalhes específicos, como frases de recuperação de carteira de criptomoedas, a partir de capturas de tela.

Algumas versões do SparkKitty também usam OCR para essa finalidade, aproveitando a biblioteca Google ML Kit para essa função, especialmente em aplicativos distribuídos por meio de páginas da web obscuras, como golpes e esquemas Ponzi .

A Kaspersky acredita que o spyware SparkKitty esteja diretamente conectado à campanha anterior do SparkCat, descoberta em janeiro de 2025, compartilhando métodos de distribuição semelhantes por meio de marketplaces de aplicativos oficiais e não oficiais. Ambas as ameaças também parecem focadas no roubo de criptomoedas. Os invasores por trás do spyware SparkKitty visavam especificamente usuários no Sudeste Asiático e na China, frequentemente por meio de jogos de azar e jogos adultos modificados, bem como dos aplicativos falsos do TikTok .

Embora baixar aplicativos de lojas de terceiros seja sempre arriscado, essa descoberta mostra que mesmo fontes confiáveis, como lojas de aplicativos oficiais, não podem mais ser consideradas totalmente confiáveis. Usuários nas regiões afetadas, e até mesmo no mundo todo, devem permanecer cautelosos com as permissões de aplicativos e considerar a legitimidade de qualquer aplicativo que solicite acesso incomum, especialmente a galerias de fotos.