Pesquisadores do laboratório de cibersegurança da Kaspersky identificaram um novo tipo de malware que atinge dispositivos iOS, conhecido como SparkCat. Essa ameaça é capaz de contornar os rigorosos mecanismos de segurança da Apple e se disfarça em aplicativos, sejam eles falsos ou legítimos, para acessar informações sensíveis armazenadas em capturas de tela do usuário.
O SparkCat foi inicialmente detectado em dispositivos Windows e Android em versões anteriores de 2023, mas esta é a primeira vez que ele aparece na App Store. Isso indica que o malware emprega um sofisticado esquema de codificação para evitar a detecção pelos filtros da loja digital da Apple.
No caso da Google Play Store, os aplicativos infectados foram baixados pelo menos 242 mil vezes antes de serem denunciados. A maioria dessas ameaças se disfarça como serviços de inteligência artificial (AI) ou utilitários diversos. Além disso, o SparkCat também foi encontrado em plataformas legítimas, como um aplicativo de entrega de alimentos, que provavelmente foi comprometido por terceiros.
Como o SparkCat opera
O funcionamento do SparkCat começa com um mecanismo presente nos smartphones. Quando o usuário acessa determinadas seções de um aplicativo, como o chat de suporte com o desenvolvedor, o malware solicita permissão para acessar a galeria de imagens do dispositivo através de uma notificação.
Se o usuário aceitar essa solicitação, o malware começa a vasculhar a galeria em busca de capturas de tela feitas pela vítima. Utilizando um mecanismo de leitura, ele identifica textos contidos nessas imagens. Os criminosos por trás do SparkCat estão especialmente interessados em dados que costumam ser armazenados em formato de imagem, como senhas, chaves de acesso e frases de recuperação de carteiras de criptomoedas.
Uma vez que o malware obtém acesso a essas informações sensíveis, ele envia as imagens para um servidor controlado pelos invasores, que, por sua vez, podem roubar todos os criptoativos da vítima. A análise da Kaspersky revelou que palavras-chave em português estão entre os dados identificados, o que sugere que países como o Brasil são alvos em potencial desse tipo de ataque.
A situação atual
Até o momento, os pesquisadores ainda não conseguiram determinar se os aplicativos infectados foram alvo de um ataque em cadeia que comprometeu múltiplos serviços legítimos ou se todos pertencem a contas fraudulentas de desenvolvedores. Alguns dos aplicativos considerados perigosos, como WeTing e AnyGPT, que se dizem ser de inteligência artificial, continuam disponíveis na App Store.
As empresas Google e Apple ainda não se pronunciaram oficialmente sobre o assunto, mas a descoberta do SparkCat levanta preocupações significativas sobre a segurança dos usuários de dispositivos iOS.
