🔍 O que é o SparkKitty?
- Um trojan espião direcionado a
dispositivos Android e iOS, ativo desde fevereiro de 2024 .
- Evolui do malware anterior SparkCat,
mas com técnicas mais agressivas de exfiltração de fotos via upload
indiscriminado, não apenas por OCR .
🛠️ Vetores de infecção
- Distribuído tanto através de lojas
oficiais de apps quanto por sites falsos:
- No Google Play, dentro do app de
mensagens com recurso de criptomoeda chamado SOEX (> 10 000
downloads antes da remoção) .
- No App Store, incorporado no app
de criptomoedas 币coin
e também via imitações de TikTok com perfil corporativo (enterprise
provisioning) para instalar apps fora da loja oficial .
- Em sites de phishing que simulam
instalação de apps populares (TikTok mod, plataforma de apostas)
distribuindo APKs infectados ou perfis empresariais para iOS .
📸 O que ele faz?
- Ao ser instalado e receber permissão para
acessar galeria/fotos, inicia operação em segundo plano.
- Exfiltra todas as fotos,
incluindo novas e antigas, monitorando mudanças na galeria via callback .
- Utiliza OCR para identificar capturas
de tela com seed phrases (frases de recuperação de carteiras cripto),
ou simplesmente envia todas para análise posterior .
- Também coleta informações do
dispositivo e metadados associados às imagens .
🎯 Alvo e motivação
- Principal foco: frases de recuperação
de carteiras de criptomoedas, capturadas em screenshots armazenadas na
galeria .
- Suspeita-se que o grupo criminoso visa
particularmente usuários na Ásia‑Pacífico, Sudeste Asiático e China,
embora o malware possa atingir qualquer região sem restrições técnicas .
✅ Como se proteger
- Remova imediatamente aplicativos suspeitos como SOEX, 币coin, ou versões modificadas de TikTok; esses foram usados na campanha.
- Não armazene screenshots com seed phrases, senhas ou códigos 2FA na galeria do celular; use gestores de senhas seguros ou armazenamento físico protegido
- Evite conceder acesso à galeria a apps que não justifiquem isso; desconfie de apps de utilidades, investimento ou criptomoedas que solicitam essa permissão.
- Use software antivírus atualizado: no Android, ative o Google Play Protect e instale soluções confiáveis; no iOS, aplicativos como o Kaspersky Premium podem alertar e bloquear transmissões suspeitas de dados.
- Baixe apps somente de fontes confiáveis,
verificando editor, avaliações legítimas e evitando baixar arquivos APK ou
perfis empresariais sem procedência garantida .
🧾 Comparativo resumido
|
Plataforma |
Vetor de Infecção |
Tipo de Exfiltração |
Principal alvo |
|
Android |
App oficial SOEX no Google
Play, APKs falsos |
Acesso via permissão de
armazenamento; upload de todas as imagens |
Seed phrases e fotos
sensíveis |
|
iOS |
App 币coin via App Store; apps com enterprise profiles via
phishing |
Pergunta permissão à
galeria; monitora novas imagens |
Mesmos objetivos,
aproveitando provisionamento ad hoc |
📌 Resumo final
O SparkKitty representa
uma ameaça moderna e sofisticada, capaz de se infiltrar até mesmo em lojas
oficiais (Google Play e App Store) e, silenciosamente, exfiltrar todas
as fotos de um dispositivo, especialmente com foco em frases de
recuperação de criptomoedas. Ele é uma derivação mais ampla do SparkCat,
ampliando seu escopo e impacto.
💀O que é um👉TROJAN👈
0 Comentários