Pesquisadores da Kaspersky descobriram um novo trojan espião chamado SparkKitty, que ataca smartphones com sistemas operacionais iOS e Android. Esse malware envia aos criminosos imagens do telefone infectado e informações sobre o dispositivo. O trojan estava embutido em aplicativos relacionados a criptomoedas e apostas, além de um app do TikTok trojanizado (que contém trojan) distribuído tanto na App Store quanto no Google Play, além de sites fraudulentos. Os especialistas sugerem que o objetivo dos criminosos é roubar ativos em criptomoedas.
A Kaspersky notificou o Google e a Apple sobre os aplicativos maliciosos. Alguns detalhes técnicos indicam que essa nova campanha pode estar relacionada ao SparkCat, um trojan detectado anteriormente e que foi o primeiro de seu tipo a atacar dispositivos iOS. O SparkCat incluía uma função de Reconhecimento Ótico de Caracteres (OCR), que permitia revisar galerias de imagens e roubar capturas de tela com frases de recuperação de carteiras de criptomoedas ou senhas. O caso do SparkKitty marca a segunda vez em um ano que especialistas da Kaspersky detectam um trojan ladrão na App Store.
Na App Store, o trojan se disfarçava como um aplicativo relacionado às criptomoedas chamado ?coin. Em páginas de phishing que imitavam a loja oficial de aplicativos da Apple, o malware era distribuído com aparência de aplicativos de TikTok e apostas.
Páginas falsas que simulavam a App Store promoviam a instalação de um suposto app do TikTok usando ferramentas de desenvolvedores, incluindo uma loja integrada no app modificado, que aceitava apenas pagamentos em criptomoedas.
“Um dos métodos utilizados pelos criminosos para distribuir o trojan foi por meio de sites falsos, nos quais tentavam infectar iPhones das vítimas. Embora o iOS limite a instalação de apps fora da App Store, existem métodos legítimos para isso, como o uso de perfis de provisionamento e ferramentas para desenvolvedores. Essa campanha abusou justamente desses mecanismos: os criminosos se aproveitaram de certificados empresariais para distribuir apps maliciosos. No caso da versão infectada do TikTok, que funcionava como uma modificação do aplicativo, durante o processo de login, o malware não apenas roubava fotos da galeria do dispositivo, como também inseria links para uma loja suspeita dentro do perfil do usuário. Essa loja aceitava apenas criptomoedas como forma de pagamento, o que reforça as suspeitas de uso malicioso”, afirma Leandro Cuozzo, analista de Segurança do time Global de Pesquisa e Análise para América Latina da Kaspersky.
No caso do sistema Android, os criminosos miraram usuários tanto por meio de sites de terceiros quanto via Google Play, disfarçando o malware como diferentes serviços de criptomoedas. Por exemplo, um dos aplicativos infectados — um mensageiro chamado SOEX com função de troca de criptomoedas — foi baixado mais de 10 mil vezes pela loja oficial.
Siga TI Inside no LinkedIn e fique por dentro das principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
