Depois do SparkCat, chega agora o SparkKitty, um novo trojan concebido para roubar criptomoedas. De acordo com os investigadores da Kaspersky, o “irmão” mais novo do software malicioso descoberto no início do ano tem um modo de operação semelhante e, além de se disseminar através de app em plataformas não-oficiais, também circula nas lojas digitais da Apple e Google.

No caso da App Store, o novo trojan estava “escondido” numa app chamada 币coin, que permite acompanhar as cotações de criptomoedas. Já no caso da Play Store, os especialistas detetaram atividades maliciosas numa aplicação de mensagens chamada SOEX que incluia funcionalidades ligadas ao mundo das criptomoedas e que contava com mais de 10.000 downloads antes de ter sido removida pela Google.

Clique nas imagens para ver com mais detalhe

Fora das lojas oficial, os atacantes optaram por uma abordagem mais “criativa”, detalham os investigadores. Durante uma análise a links suspeitos, a equipa da Kaspersky descobriu várias páginas sememelhantes que distribuiam uma versão modificada do TikTok para Android que permitia carregar código adicional. Entre o código desta app, os investigadores encontraram ligações a uma loja online chamada TikToki Mall, que aceita pagamentos em crriptomoedas.

Ao clicarem nos mesmos links através de um iPhone, a equipa deparou-se com uma página que imitava a App Store e que incitava os utilizadores a descarregarem o que aparentava ser o TikTok. Além de um processo de instalação fora do habitual, esta versão da app era semelhante à que tinha sido encontrada para Android, mas pedia sempre acesso à galeria de cada vez que era aberta. 

Este pedido levou os investigadores a descobrir um módulo malicioso que enviava imagens da galeria dos smartphones infetados, além de informação sobre os equipamentos, para os atacantes. O objetivo dos cibercriminosos é encontrar capturas de ecrã com frases de recuperação para carteiras de criptomoedas.

Embora a campanha descoberta pela empresa de cibersegurança tenha como alvo principal utilizadores na China e em países do sudeste asiático, o malware, que está ativo pelo menos desde 2024, continua a espalhar-se e é provável que os atacantes acabem por expandir as suas operações para outras regiões.

Os investigadores notam que, fora das lojas da Apple e Google, também encontraram sinais deste trojan em jogos de apostas, apps com conteúdo adulto e apps relacionadas com criptomoedas.