Google Play, aplicativos da Apple App Store pegados roubando carteiras de cripto

Os aplicativos Android e iOS na Google Play Store e Apple App Store contêm um kit de desenvolvimento de software malicioso (SDK) projetado para roubar frases de recuperação de carteira de criptomoeda usando ladrões de reconhecimento de caracteres ópticos (OCR).

A campanha é chamada “Sparkcat” após o nome (“Spark”) de um dos componentes maliciosos do SDK nos aplicativos infectados, com os desenvolvedores provavelmente não participando conscientemente da operação.

De acordo com Kaspersky, apenas no Google Play, onde os números de download estão disponíveis ao público, os aplicativos infectados foram baixados mais de 242.000 vezes.

“Encontramos aplicativos Android e iOS que tinham uma SDK/estrutura maliciosa incorporada para roubar frases de recuperação de carteira criptográfica, algumas das quais estavam disponíveis no Google Play e na App Store”, explica Kaspersky.

“Os aplicativos infectados foram baixados mais de 242.000 vezes no Google Play. Este é o primeiro caso conhecido de um ladrão encontrado na App Store. ”

Spark SDK roubando sua cripto

O SDK malicioso em aplicativos Android infectados utiliza um componente java malicioso chamado “Spark”, disfarçado de módulo de análise. Ele usa um arquivo de configuração criptografado armazenado no GitLab, que fornece comandos e atualizações operacionais.

Na plataforma iOS, a estrutura tem nomes diferentes como “Gzip”, “GoogleAppsdk” ou “Stat”. Além disso, ele utiliza um módulo de rede baseado em ferrugem chamado “im_net_sys” para lidar com a comunicação com os servidores de comando e controle (C2).

O módulo usa o Google ML Kit OCR para extrair texto das imagens no dispositivo, tentando localizar frases de recuperação que possam ser usadas para carregar carteiras de criptomoeda nos dispositivos de atacantes sem conhecer a senha.

“Ele (o componente malicioso) carrega diferentes modelos de OCR, dependendo da linguagem do sistema para distinguir os personagens latinos, coreanos, chineses e japoneses em fotos”, explica Kaspersky.

“Então, o SDK envia informações sobre o dispositivo para o servidor de comando ao longo do caminho / API / E / D / U e, em resposta, recebe um objeto que regula a operação subsequente do malware.”

O malware procura imagens que contêm segredos usando palavras -chave específicas em diferentes idiomas, que mudam por região (Europa, Ásia, etc.).

Kaspersky diz que, embora alguns aplicativos mostrem direcionamentos específicos da região, a possibilidade de trabalhar fora das áreas geográficas designadas não pode ser excluída.

Os aplicativos infectados

De acordo com Kaspersky, existem dezoito aplicativos Android e 10 infectados, com muitos ainda disponíveis em suas respectivas lojas de aplicativos.

Um dos aplicativos relatados como infectados por Kaspersky é o aplicativo Android Chatai, instalado mais de 50.000 vezes. Este aplicativo não está mais disponível no Google Play.

Uma lista completa dos aplicativos impactados pode ser encontrada no final do relatório de Kaspersky.

Se você tiver algum desses aplicativos instalados em seus dispositivos, recomenda -se desinstalá -los imediatamente e usar uma ferramenta de antivírus móvel para digitalizar qualquer remanescente. Uma redefinição de fábrica também deve ser considerada.

Em geral, o armazenamento de frases de recuperação da carteira de criptomoeda nas capturas de tela é uma prática que deve ser evitada.

Em vez disso, armazene-os em mídia offline física, dispositivos de armazenamento removíveis criptografados ou no cofre de gerentes de senha offline auto-hospedados.

O BleepingComputer entrou em contato com a Apple e o Google com um pedido de comentário sobre a presença dos aplicativos listados em suas respectivas lojas de aplicativos, e atualizaremos esta postagem com suas respostas.