Recentemente, pesquisadores de cibersegurança alertaram sobre uma variante renovada do malware conhecido como SparkCat que reapareceu nas lojas oficiais de aplicativos móveis: tanto na App Store Apple como na Google Play Store. O perturbador é que os instaladores não são aplicações suspeitas a olho nu: são camuflan dentro de programas que parecem inocuos, como mensageiros empresariais ou serviços de distribuição de alimentos, e atuam silenciosamente em segundo plano.
A função maliciosa mais perigosa do SparkCat é sua capacidade para digitalizar as galerias de fotos do dispositivo em busca das frases de recuperação de carteiras de criptomoedas. Este tipo de frases — as famosas "seed" ou mnemônicos — permitem restaurar o controle sobre carteiras digitais; se caem nas mãos de um atacante, o roubo de ativos pode ser praticamente instantâneo. Pesquisadores da companhia russa Kaspersky Eles apontaram a detecção de várias aplicações infectadas em ambas as plataformas e explicaram como o malware envia servidores controlados pelos operadores apenas as imagens que contêm texto relevante.
Uma diferença notável entre as variantes é a estratégia linguística e de alcance. A versão que afeta o iOS foi desenhada para identificar frases mnemônicas em inglês, o que a torna potencialmente mais ampla em alcance, pois não depende de uma língua regional específica. Por sua vez, a variante para Android incorpora mecanismos de busca de palavras em japonês, coreano e chinês, o que aponta para uma abordagem centrada em usuários asiáticos.
Além dos padrões de idioma, as mudanças técnicas na versão para Android indicam uma evolução na sofisticação do malware. Os desenvolvedores adicionaram múltiplas camadas de ofuscação para complicar sua análise: desde virtualização do código até o uso de linguagens e ferramentas multiplataformas que buscam evadir a inspeção estática e dinâmica que empregam as equipes de resposta. Em outras palavras, o SparkCat aprendeu a se esconder melhor e a abrandar ou confundir os analistas.
O vetor de exfiltração é apoiado num módulo de reconhecimento óptico de caracteres (OCR) que analisa as imagens armazenadas no dispositivo. Quando o OCR detecta texto relacionado a uma frase de recuperação, a imagem relevante é transferida para o servidor do atacante. Esta técnica foi descrita pela primeira vez pela Kaspersky em fevereiro de 2025 e agora volta com melhorias, o que confirma que o projeto malicioso está ativo e em desenvolvimento contínuo.
Os pesquisadores associaram a operação a um ator de fala chinesa e, segundo seus achados, as similaridades entre as amostras antigas e as novas sugerem que os responsáveis são os mesmos operadores ou um grupo muito relacionado. A análise dos comportamentos e cadeias de infecção levou especialistas como Sergey Puzan a assinalar a necessidade de ferramentas de segurança móveis e a prestar atenção às permissões concedidas às aplicações. Em suas declarações à imprensa, Puzan destacou que o malware pede acesso às fotos em certos cenários e depois usa OCR para decidir o que enviar aos atacantes.
De uma perspectiva prática, isso volta a colocar acima da mesa recomendações que qualquer usuário de criptomoedas deveria tomar a sério. Armazenar uma cópia fotográfica da frase de recuperação no telefone converte essa cópia em um objetivo. As carteiras de hardware e as práticas de armazenamento a frio continuam sendo as defesas mais robustas contra este tipo de roubo. Além disso, verifique cuidadosamente as permissões que pedem as aplicações antes de instalar e desconfiar de apps que solicitam acesso à galeria quando não têm uma razão clara para fazê-lo reduz significativamente o risco.
As lojas oficiais melhoraram seus controles, mas os incidentes demonstram que não são infalívels: as aplicações maliciosas podem passar revisões iniciais ou aparecer após atualizações que introduzem código hostil. É por isso aconselhável complementar as protecções nativas com soluções de segurança móveis e verificar a reputação dos desenvolvedores antes de instalar. Recursos da Apple sobre revisão de apps e ferramentas de proteção como Google Play Protect Podem mitigar riscos, mas não substituem a prudência do usuário.
Para aqueles que gerem ativos digitais, convém também seguir guias de segurança especializadas: fabricantes de carteiras e plataformas como MetaMask e fabricantes de hardware como Ledger oferecem recomendações claras sobre como guardar as frases mnemônicas e minimizar a exposição. Além das criptomoedas, manter o sistema operacional e as aplicações atualizadas reduz a janela de oportunidade para que o malware explote vulnerabilidades conhecidas.
A reaparição do SparkCat lembra que a ameaça móvel é dinâmica: os autores não só reutilizam ideias, mas as aperfeiçoam. A pesquisa publicada pela Kaspersky e a cobertura de mídia especializada como The Hacker News Eles mostram que essas campanhas buscam maximizar seu impacto com técnicas relativamente simples, mas eficazes quando encontram usuários pouco precavidos.
Em suma, a lição é clara: o conforto de ter tudo no telefone não deve ser traduzido em negligência com as chaves (seed phrases) de nossas carteiras digitais. Gravar uma frase de recuperação em uma foto do celular é convidar o roubo. Tomar medidas básicas de higiene digital e apostar em soluções de segurança e armazenamento offline pode marcar a diferença entre manter ou perder o controle dos ativos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...