Análise de Ataque: A evolução "invisível" de SparkCat para SparkKitty
Em 23 de junho de 2025, a equipe de pesquisa de ameaças da Kaspersky revelou pela primeira vez o SparkKitty, chamando-o de "malware altamente furtivo de roubo de imagens". O vírus compartilha a mesma origem do malware SparkCat descoberto no início de 2024 e compartilha uma estrutura de código e modus operandi de ataque semelhantes, mas com técnicas mais sofisticadas. De acordo com os analistas da Kaspersky, a atividade mais antiga da SparkKitty remonta a fevereiro de 2024, visando inicialmente o Sudeste Asiático e a China, infiltrando-se nos dispositivos dos utilizadores disfarçando-se de criptomoedas, jogos de azar e aplicações de mensagens.
O principal objetivo da SparkKitty é roubar todas as imagens do álbum, com foco em capturas de tela de frases de sementes de carteiras de criptomoedas. A frase mnemônica é a única credencial para recuperar uma carteira cripto e, uma vez comprometida, um invasor pode assumir diretamente o controle da carteira do usuário e transferir todos os ativos. Em comparação com o SparkCat, a tecnologia OCR (Optical Character Recognition) da SparkKitty é mais eficiente, e algumas variantes usam o Google ML Kit OCR para carregar apenas imagens com texto, reduzindo a carga sobre o servidor e melhorando a eficiência de roubo. Além disso, os vírus podem recolher dados confidenciais, como identificadores de dispositivos e cookies do navegador, aumentando o risco de roubo de identidade e comprometimento da conta.
Romper o jardim murado: como a loja oficial se tornou o maior vetor de ataque?
O mais alarmante no SparkKitty é que ele conseguiu romper os canais de distribuição de aplicativos considerados os mais seguros - Apple App Store e Google Play.
O mecanismo de revisão das lojas de aplicações oficiais mostra-se impotente nesta batalha de ataque e defesa. Os atacantes utilizam a estratégia do "Cavalo de Tróia" para disfarçar o código malicioso em aplicações que parecem inofensivas:
A falha da App Store: uma aplicação chamada "币coin" foi lançada com sucesso, disfarçada como uma interface simples de rastreamento de preços de criptomoedas. Ela aproveita a confiança dos usuários nas ferramentas de preços para induzi-los a conceder acesso à galeria.
Área de desastre do Google Play: um aplicativo de comunicação chamado "SOEX", que afirma oferecer funcionalidades de "chat e transações criptografadas", já acumulou mais de 10 mil downloads. Além disso, aplicativos de jogos de azar e jogos para adultos também foram confirmados como importantes meios de disseminação. Segundo estatísticas, desde a época do SparkCat até agora, o número total de downloads de aplicativos maliciosos relacionados no Google Play já ultrapassou 242 mil.
Além dos canais oficiais, os atacantes também utilizaram uma matriz de disseminação multidimensional:
Distribuição de APK não oficial: distribuição de pacotes de instalação APK disfarçados de versões piratas do TikTok, jogos populares em blockchain ou aplicações de apostas através de anúncios no YouTube, grupos do Telegram e sites de download de terceiros.
Abuso de certificados empresariais iOS: utilizando o programa de desenvolvedores empresariais da Apple, contornando a rigorosa revisão da App Store, instalando aplicações diretamente nos dispositivos dos usuários através de links da web.
Esses aplicativos, ao serem instalados e executados, frequentemente embalam os pedidos de permissão (como o acesso à galeria) como necessidades funcionais centrais do aplicativo, levando os usuários a conceder permissões inadvertidamente e, assim, convidar o lobo para dentro.
Milhares de pessoas afetadas, ativos a zero: uma "guerra relâmpago" de "localização" direcionada ao mercado asiático
O Sudeste Asiático e a China tornaram-se os principais alvos da SparkKitty. Isso não é acidental, mas uma estratégia de "localização" bem planejada:
Perfis de usuários precisos: estas regiões são mercados altamente ativos para criptomoedas e aplicativos de apostas móveis, com uma grande base de usuários e uma consciência de segurança relativamente fraca.
Isco e linguagens: Os nomes das aplicações (como "coin"), o design da interface e a redação publicitária são todos feitos em línguas localizadas, até incorporando elementos de jogos de apostas populares na região, reduzindo significativamente a resistência dos usuários.
Apesar de os ataques estarem concentrados na Ásia, a Kaspersky alerta que o SparkKitty é tecnicamente sem fronteiras, e seu código pode ser facilmente modificado para atacar usuários em qualquer região do mundo. No X (antigo Twitter), especialistas em segurança e KOLs de criptomoedas iniciaram um grande alerta, pedindo aos usuários que realizem autoavaliações, e o pânico em torno do incidente está se espalhando pela comunidade cripto global. Os danos são múltiplos:
Os ativos evaporam instantaneamente: a frase de recuperação é a única chave para restaurar a carteira. Uma vez divulgada, um atacante pode transferir todos os ativos criptográficos do usuário em questão de minutos, e é quase impossível recuperá-los.
Privacidade totalmente exposta: a galeria pode conter uma grande quantidade de informações privadas, como identidade, passaporte, cartão bancário e fotos de família. Uma vez que essas informações sejam utilizadas por atividades ilícitas, as consequências podem ser inimagináveis.
Contas em cadeia: Cookies e credenciais roubados podem levar à tomada de controle das contas de mídia social, e-mail ou até mesmo bancárias dos usuários.
Reflexão: Quando a captura de tela da frase de recuperação se torna o "calcanhar de Aquiles"
A plataforma está a agir. O Google já removeu as aplicações relacionadas, e a Apple também bloqueou quase cem contas de desenvolvedores devido ao incidente SparkCat. Mas isso parece mais um jogo interminável de "martelo no topo do martelo". Enquanto os atacantes conseguirem encontrar continuamente falhas no mecanismo de revisão, novos "cavalos de Troia" continuarão a surgir.
O evento SparkKitty soou o alarme para toda a indústria, expondo várias dificuldades profundas:
A crise de confiança nas lojas de aplicativos: a crença dos usuários na "absoluta segurança" das lojas oficiais foi quebrada. As plataformas precisam introduzir mecanismos de detecção de comportamento dinâmico mais proativos e inteligentes, em vez de apenas depender da análise de código estático.
O eterno dilema entre a conveniência do usuário e a segurança: para maior comodidade, os usuários tendem a usar a forma mais simples - capturas de tela - para fazer backup dos dados mais importantes. Este padrão de comportamento é precisamente o elo mais fraco no sistema de segurança.
O dilema da "última milha" na segurança criptográfica: não importa quão segura seja a carteira hardware ou quão descentralizado seja o protocolo DeFi, se os usuários cometerem erros na gestão das palavras-passe nesta "última milha", todas as defesas serão inúteis.
Como se proteger? Em vez de remediar o que já aconteceu, é melhor prevenir antes que aconteça.
Erradicar maus hábitos, backup físico: abandonar completamente o hábito de armazenar frases mnemónicas em álbuns, notas ou qualquer serviço de nuvem conectado. Retornar ao método mais primitivo e seguro: fazer um backup físico escrito à mão e armazená-lo em locais seguros em diferentes locais.
Princípio do menor privilégio: proteja as permissões do seu telefone como um avarento. Qualquer pedido de acesso a álbuns, contatos ou localização que não seja absolutamente necessário deve ser sempre recusado.
Criar um ambiente de "sala limpa": considere usar um antigo smartphone dedicado e isolado da rede para gerenciar ativos criptográficos, sem instalar aplicativos de fontes desconhecidas.
Embora o SparkKitty possa ser dizimado, o próximo "Kitty" já está sendo incubado. Este ataque nos lembra que a segurança no mundo Web3 não é apenas uma guerra de códigos e protocolos, mas uma batalha contínua sobre a natureza humana, hábitos e percepções. Manter-se alerta diante da conveniência absoluta é uma lição obrigatória para cada cidadão digital.
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Loja oficial transformada em um "cavalo de Tróia"? A verdade sobre o SparkKitty: uma caça precisa aos frases mnemónicas das galerias.
Análise de Ataque: A evolução "invisível" de SparkCat para SparkKitty
Em 23 de junho de 2025, a equipe de pesquisa de ameaças da Kaspersky revelou pela primeira vez o SparkKitty, chamando-o de "malware altamente furtivo de roubo de imagens". O vírus compartilha a mesma origem do malware SparkCat descoberto no início de 2024 e compartilha uma estrutura de código e modus operandi de ataque semelhantes, mas com técnicas mais sofisticadas. De acordo com os analistas da Kaspersky, a atividade mais antiga da SparkKitty remonta a fevereiro de 2024, visando inicialmente o Sudeste Asiático e a China, infiltrando-se nos dispositivos dos utilizadores disfarçando-se de criptomoedas, jogos de azar e aplicações de mensagens.
O principal objetivo da SparkKitty é roubar todas as imagens do álbum, com foco em capturas de tela de frases de sementes de carteiras de criptomoedas. A frase mnemônica é a única credencial para recuperar uma carteira cripto e, uma vez comprometida, um invasor pode assumir diretamente o controle da carteira do usuário e transferir todos os ativos. Em comparação com o SparkCat, a tecnologia OCR (Optical Character Recognition) da SparkKitty é mais eficiente, e algumas variantes usam o Google ML Kit OCR para carregar apenas imagens com texto, reduzindo a carga sobre o servidor e melhorando a eficiência de roubo. Além disso, os vírus podem recolher dados confidenciais, como identificadores de dispositivos e cookies do navegador, aumentando o risco de roubo de identidade e comprometimento da conta.
Romper o jardim murado: como a loja oficial se tornou o maior vetor de ataque?
O mais alarmante no SparkKitty é que ele conseguiu romper os canais de distribuição de aplicativos considerados os mais seguros - Apple App Store e Google Play.
O mecanismo de revisão das lojas de aplicações oficiais mostra-se impotente nesta batalha de ataque e defesa. Os atacantes utilizam a estratégia do "Cavalo de Tróia" para disfarçar o código malicioso em aplicações que parecem inofensivas:
A falha da App Store: uma aplicação chamada "币coin" foi lançada com sucesso, disfarçada como uma interface simples de rastreamento de preços de criptomoedas. Ela aproveita a confiança dos usuários nas ferramentas de preços para induzi-los a conceder acesso à galeria.
Área de desastre do Google Play: um aplicativo de comunicação chamado "SOEX", que afirma oferecer funcionalidades de "chat e transações criptografadas", já acumulou mais de 10 mil downloads. Além disso, aplicativos de jogos de azar e jogos para adultos também foram confirmados como importantes meios de disseminação. Segundo estatísticas, desde a época do SparkCat até agora, o número total de downloads de aplicativos maliciosos relacionados no Google Play já ultrapassou 242 mil.
Além dos canais oficiais, os atacantes também utilizaram uma matriz de disseminação multidimensional:
Distribuição de APK não oficial: distribuição de pacotes de instalação APK disfarçados de versões piratas do TikTok, jogos populares em blockchain ou aplicações de apostas através de anúncios no YouTube, grupos do Telegram e sites de download de terceiros.
Abuso de certificados empresariais iOS: utilizando o programa de desenvolvedores empresariais da Apple, contornando a rigorosa revisão da App Store, instalando aplicações diretamente nos dispositivos dos usuários através de links da web.
Esses aplicativos, ao serem instalados e executados, frequentemente embalam os pedidos de permissão (como o acesso à galeria) como necessidades funcionais centrais do aplicativo, levando os usuários a conceder permissões inadvertidamente e, assim, convidar o lobo para dentro.
Milhares de pessoas afetadas, ativos a zero: uma "guerra relâmpago" de "localização" direcionada ao mercado asiático
O Sudeste Asiático e a China tornaram-se os principais alvos da SparkKitty. Isso não é acidental, mas uma estratégia de "localização" bem planejada:
Perfis de usuários precisos: estas regiões são mercados altamente ativos para criptomoedas e aplicativos de apostas móveis, com uma grande base de usuários e uma consciência de segurança relativamente fraca.
Isco e linguagens: Os nomes das aplicações (como "coin"), o design da interface e a redação publicitária são todos feitos em línguas localizadas, até incorporando elementos de jogos de apostas populares na região, reduzindo significativamente a resistência dos usuários.
Apesar de os ataques estarem concentrados na Ásia, a Kaspersky alerta que o SparkKitty é tecnicamente sem fronteiras, e seu código pode ser facilmente modificado para atacar usuários em qualquer região do mundo. No X (antigo Twitter), especialistas em segurança e KOLs de criptomoedas iniciaram um grande alerta, pedindo aos usuários que realizem autoavaliações, e o pânico em torno do incidente está se espalhando pela comunidade cripto global. Os danos são múltiplos:
Os ativos evaporam instantaneamente: a frase de recuperação é a única chave para restaurar a carteira. Uma vez divulgada, um atacante pode transferir todos os ativos criptográficos do usuário em questão de minutos, e é quase impossível recuperá-los.
Privacidade totalmente exposta: a galeria pode conter uma grande quantidade de informações privadas, como identidade, passaporte, cartão bancário e fotos de família. Uma vez que essas informações sejam utilizadas por atividades ilícitas, as consequências podem ser inimagináveis.
Contas em cadeia: Cookies e credenciais roubados podem levar à tomada de controle das contas de mídia social, e-mail ou até mesmo bancárias dos usuários.
Reflexão: Quando a captura de tela da frase de recuperação se torna o "calcanhar de Aquiles"
A plataforma está a agir. O Google já removeu as aplicações relacionadas, e a Apple também bloqueou quase cem contas de desenvolvedores devido ao incidente SparkCat. Mas isso parece mais um jogo interminável de "martelo no topo do martelo". Enquanto os atacantes conseguirem encontrar continuamente falhas no mecanismo de revisão, novos "cavalos de Troia" continuarão a surgir.
O evento SparkKitty soou o alarme para toda a indústria, expondo várias dificuldades profundas:
A crise de confiança nas lojas de aplicativos: a crença dos usuários na "absoluta segurança" das lojas oficiais foi quebrada. As plataformas precisam introduzir mecanismos de detecção de comportamento dinâmico mais proativos e inteligentes, em vez de apenas depender da análise de código estático.
O eterno dilema entre a conveniência do usuário e a segurança: para maior comodidade, os usuários tendem a usar a forma mais simples - capturas de tela - para fazer backup dos dados mais importantes. Este padrão de comportamento é precisamente o elo mais fraco no sistema de segurança.
O dilema da "última milha" na segurança criptográfica: não importa quão segura seja a carteira hardware ou quão descentralizado seja o protocolo DeFi, se os usuários cometerem erros na gestão das palavras-passe nesta "última milha", todas as defesas serão inúteis.
Como se proteger? Em vez de remediar o que já aconteceu, é melhor prevenir antes que aconteça.
Erradicar maus hábitos, backup físico: abandonar completamente o hábito de armazenar frases mnemónicas em álbuns, notas ou qualquer serviço de nuvem conectado. Retornar ao método mais primitivo e seguro: fazer um backup físico escrito à mão e armazená-lo em locais seguros em diferentes locais.
Princípio do menor privilégio: proteja as permissões do seu telefone como um avarento. Qualquer pedido de acesso a álbuns, contatos ou localização que não seja absolutamente necessário deve ser sempre recusado.
Criar um ambiente de "sala limpa": considere usar um antigo smartphone dedicado e isolado da rede para gerenciar ativos criptográficos, sem instalar aplicativos de fontes desconhecidas.
Embora o SparkKitty possa ser dizimado, o próximo "Kitty" já está sendo incubado. Este ataque nos lembra que a segurança no mundo Web3 não é apenas uma guerra de códigos e protocolos, mas uma batalha contínua sobre a natureza humana, hábitos e percepções. Manter-se alerta diante da conveniência absoluta é uma lição obrigatória para cada cidadão digital.