Especialistas descobriram que um software espião se disfarça de aplicativo de pedidos, roubando a frase secreta da carteira

O especialista em segurança do Kaspersky descobriu um software espião oculto na App Store da Apple. Um aplicativo de pedidos chamado ComeCome para iOS foi encontrado com um software espião malicioso. Este aplicativo de pedidos também pode ser baixado no Google Play, com o objetivo de roubar a frase-semente dos usuários da carteira de Criptomoeda e roubar a Criptomoeda.

Os especialistas em análise da Kaspersky, Dmitry Kalinin e Sergey Puzan, afirmam que o aplicativo também transfere as chaves de criptomoeda das vítimas para grupos de fraudes. De acordo com pesquisadores da Kaspersky, este aplicativo de encomenda de comida foi injetado com um framework SDK malicioso que pode desbloquear o plugin de reconhecimento óptico de caracteres (OCR) em um momento não especificado. Quando o código OCR começa a funcionar, o aplicativo procura capturas de tela no dispositivo móvel, digitaliza a frase-semente da carteira de criptomoeda e o spyware rouba a frase-semente, roubando assim a criptomoeda das carteiras dos usuários.

Os especialistas também afirmam que, devido ao roubo da frase mnemónica por grupos criminosos, os grupos criminosos por trás do aplicativo podem controlar a carteira de criptomoedas da vítima e transferir fundos, razão pela qual é melhor manter a frase mnemónica segura e acessível offline, em vez de apenas registrar capturas de tela no telemóvel.

A Apple já removeu o aplicativo de entrega Come Come, mas o que é assustador é que nem o Google Play nem a App Store da Apple conseguiram detectar o malware no aplicativo. Atualmente, há mais de um aplicativo aparentemente normal, como o Come Come, disponíveis para download nas lojas de aplicativos, e esses aplicativos podem passar completamente pela revisão antes de serem disponibilizados. Até a loja da Apple, que é confiada pelos internautas, pode ser enganada. Esses aplicativos que parecem ser comuns escondem o malware SparkCat, que rouba informações confidenciais, como senhas de contas sensíveis e a frase-semente da carteira de encriptação.

O malware SparkCat é especializado em roubar senhas e frases mnemónicas

Especialistas nomearam o malware de roubo de frase-semente como SparkCat e observaram que é flexível o suficiente para não apenas roubar a frase-semente, mas também para roubar outros dados sensíveis na galeria do celular, como mensagens ou senhas em capturas de tela do celular.

A equipe da Kaspersky afirmou que os alvos dos grupos criminosos parecem ser os usuários de Android e iOS na Europa e Ásia. Muitos aplicativos na Google Play Store foram infectados com SparkCat, com mais de 242.000 downloads.

Não se sabe se a SparkCat invadiu esses aplicativos por meio de hackers ou se a equipe de desenvolvimento do aplicativo em si é um grupo fraudulento. A Apple removeu o aplicativo ComeCome da App Store do iOS e o Google Play Store também removeu este aplicativo problemático. Mas especialistas temem que ainda existam muitos aplicativos comerciais aparentemente normais escondidos nas lojas, que serão baixados por usuários desinformados.

Como funciona o SparkCat?

SparkCat refers to a highly obfuscated module named Spark in malicious applications. This spyware is mainly written in Java and uses Rust to implement unidentified protocols and communicate with its remote command and control server (C2).

Ao conectar-se ao seu servidor C2, a versão Android do Spark irá baixar e usar um invólucro da interface de reconhecimento de texto do Google ML Kit da biblioteca para extrair caracteres da tela. Este malware carrega diferentes modelos OCR de acordo com o idioma do sistema para identificar caracteres em imagens em latim, coreano, chinês ou japonês. Se entrar em contato com o aplicativo (ou seja, interagir através do SDK de Help Desk Easemob de terceiros legítimo), o aplicativo solicitará acesso à galeria de imagens do dispositivo móvel. Se os criminosos obtiverem permissão de acesso, eles usarão o OCR para escanear capturas de tela e roubar a frase mnemónica da carteira encriptação e enviá-la para o servidor C2.

Como se proteger de software espião malicioso?

Guardar a frase-semente da carteira de encriptação em papel com uma caneta é a forma mais antiga de proteger a frase-semente. Muitas pessoas tiram capturas de ecrã no telemóvel para maior comodidade, mas os especialistas consideram este método mais perigoso. Além de não descarregar aleatoriamente aplicações de origem desconhecida, é importante verificar regularmente as permissões das aplicações, para ver se as funções de gravação de áudio, vídeo e captura de ecrã foram ativadas sem motivo aparente. Muitas aplicações solicitam que os utilizadores concedam estas permissões aquando do download, pelo que é melhor verificar regularmente e desativar as permissões quando não estiver a utilizar as aplicações, impedindo assim que aplicações de terceiros acedam facilmente, o que é uma forma mais simples e eficaz de prevenção diária.

Este artigo especialistas descobriram que o spyware se disfarçava de uma aplicação de encriptação de encomendas, roubando a carteira de criptografia frase-semente apareceu pela primeira vez em Chain News ABMedia.