Malware presente pela primeira vez na App Store tinha como alvo carteiras de criptomoedas

Uma campanha de malware identificada como “SparkCat” foi detectada no final de 2024, visando o roubo de frases de recuperação de carteiras de criptomoedas (mnemonics). O ataque utilizava um método avançado de reconhecimento óptico de caracteres (OCR) para analisar imagens armazenadas nos dispositivos das vítimas. O malware foi distribuído tanto por aplicativos maliciosos em lojas oficiais quanto por canais não oficiais.

Um dos aplicativos infectados, chamado “ComeCome”, continha um SDK malicioso conhecido como "Spark". Esse SDK baixava um arquivo JSON de configuração hospedado no GitLab, que continha informações sobre servidores de comando e controle (C2). O arquivo era então descriptografado com AES-128 para determinar qual servidor C2 seria utilizado, podendo operar via protocolo HTTP ou Rust. Para reconhecimento de texto, o malware utilizava o Google ML Kit, analisando imagens da galeria do usuário em busca de palavras-chave relacionadas a criptomoedas, como "mnemonic" e "frase de recuperação". Caso identificasse informações relevantes, a imagem era enviada para os servidores dos atacantes.

No Android, o malware possuía um módulo escrito em Rust, algo incomum para ameaças móveis. No iOS, a análise do código revelou detalhes sobre os desenvolvedores, incluindo diretórios de usuários nos computadores dos criminosos. Os aplicativos maliciosos solicitavam acesso à galeria quando o usuário iniciava um chat com o suporte do app. Caso a permissão fosse negada, o malware continuava requisitando acesso até que o usuário concedesse.

Os aplicativos infectados na Google Play Store foram baixados mais de 242 mil vezes. Google e Apple foram notificadas sobre a campanha, e os aplicativos foram removidos das respectivas lojas.