Dois apps na App Store da Apple. Um no Google Play. É assim que o malware SparkCat voltou a invadir seu celular, mais de um ano depois que a Kaspersky o detectou pela primeira vez.
E não tá só mexendo nos bolsos — tá vasculhando sua galeria de fotos atrás de frases de recuperação de carteiras crypto. Aquelas seeds de 12-24 palavras que você idiota salvou em screenshot? Pois é, adeus.
Pesquisadores da Kaspersky foram os primeiros a pegar no flagra, identificando esses trojans disfarçados de apps de chat empresarial e delivery de comida. Principalmente mirando usuários de cripto na Ásia. Mas a versão iOS? Escaneia mnemonics em inglês. Rede mais ampla. Ladrões mais espertos.
“A variante para iOS, no entanto, adota uma abordagem diferente, pois escaneia frases mnemônicas de carteiras de criptomoedas, que estão em inglês”, observa a Kaspersky. “Isso torna a variante iOS potencialmente de alcance mais amplo, afetando usuários independentemente da região.”
Como o SparkCat Escapou da Revisão da App Store — de Novo?
Olha, a Apple tem essa aura de intocável. Jardim murado até o talo. Mesmo assim, cá estamos, fevereiro de 2025 desde a descoberta original do SparkCat, e agora uma versão turbinada escapa. O Android também não é santo — camadas de ofuscação empilhadas, virtualização de código, truques multiplataforma pra dar o dedo no nariz pros analistas.
A adaptação pro Android? Escaneia palavras-chave em japonês, coreano e chinês. Foco a laser no boom crypto da Ásia. Mas iOS mantém universal. Furtivo.
Sergey Puzan, da Kaspersky, explica direitinho:
“A variante atualizada do SparkCat solicita acesso para visualizar fotos na galeria do smartphone do usuário em certos cenários — igualzinho à primeira versão do Trojan”, contou o pesquisador da Kaspersky Sergey Puzan ao The Hacker News. “Ele analisa o texto em imagens armazenadas usando um módulo de reconhecimento óptico de caracteres.”
Modelo OCR. Envia imagens pros servidores dos atacantes. Mesma jogada, mais afiada. E olha só — não são moleques de script. Operadores falantes de chinês, segundo a Kaspersky. Evoluindo ativamente. Isso não é hobby; é negócio.
Minha opinião quente, ausente no release: isso fede a XcodeGhost 2.0. Lembra 2015? Builds do Xcode infectados bateram na App Store, com 250 milhões de downloads. Apple se gabou, prometeu correções. Dez anos depois? Mesma tática de acesso à galeria funciona. Os guardiões tão dormindo. Ou pior, subequipados contra ofuscação de nível estado-nação.
Por Que as Baleias Crypto da Ásia São Alvos Prioritários
Cena crypto na Ásia? Explosiva. Japão, Coreia, China — hubs subterrâneos apesar das proibições. Bilhões em jogo. Screenshots de seeds? Comuns que só. Usuários tratam como ímã de geladeira.
SparkCat não força brute-force em carteiras. Sem links de phishing. Só pede fotos — “Ei, mensageiro empresarial precisa de acesso à galeria por… motivos”. Você clica sim. Bum. OCR escaneia, keywords batem (padrões BIP39, alguém?), imagem voa pro servidor C2.
Versão Android com keywords regionais grita foco: kanji pra termos de carteira, frases em Hangul. iOS vai global com inglês. Previsão: se não patcharem, veremos variantes euro no verão. Tech OCR tá baratinho agora — modelos open-source pra todo lado. Atores de ameaça escalam isso da noite pro dia.
Mas espera — “mensageiros empresariais”? Delivery? Camuflagem genial. Quem nega acesso a fotos pra um clone do iFood? Você tá ocupado pedindo ramen, não auditando permissões.
Resposta curta: você tá ferrado se salva seeds em screenshot. Hardware wallets ou nada. Mas não é o ponto.
O ponto? Lojas de apps são peneiras pra malware sofisticado. Volta do SparkCat prova isso. Kaspersky recomenda soluções de segurança — óbvio. Mas na real, a paranoia de sideload é com você.
Seu Celular Já Foi Comprometido?
Confere seus apps. Chat empresarial? Deliveries esquisitos? Permissões pra fotos? Revoga elas. Mas o SparkCat evoluiu — se esconde fundo, virtualização o blinda de antivírus.
Kaspersky liga as novas amostras às originais. Mesmos devs. Campanha persistente. E não tá sozinho — famílias de malware assim se multiplicam. Lembra RedLine? ClipBanker? Tudo parentes raideiros de galeria.
Bla-bla corporativo? Apple vai dizer “removido rapidinho”. Google idem. Mas estrago feito. Vítimas esvaziadas antes do takedown. Quantos? Desconhecido. Mas relatos de roubo crypto na Ásia explodiram no último trimestre — coincidência?
Minha reclamação única: isso expõe o segredo sujo das criptos. O mantra “not your keys, not your coins” soa vazio quando seu celular é o elo fraco. Carteiras precisam de escudos nativos pra galeria. MetaMask, Trust Wallet — cadê o bloqueador de OCR de vocês?
O Que Apple e Google Não Admitem
Processos de revisão? Patético contra pros. Revisores humanos dão uma olhada rápida. Scans automáticos perdem código virtualizado. Linguagens multiplataforma? Kotlin misturado com ofuscação em Rust — boa sorte.
Chamada ousada: SparkCat é só a ponta. Atores estatais (op chinesa, lembra?) testam as águas. Se passar batido por tempo, campanhas full rolam. Bilhões em risco. Lojas de apps têm que impor análise comportamental — monitoramento em runtime. Ou admitir derrota.
Usuários, não esperem. Audite permissões. Use verificadores de apps como AppCensus. E pelo amor, nunca screenshot seeds. Queima se precisar.
Isso não é hype. É despertador. SparkCat evoluiu porque funciona. Sua galeria é mina de ouro — não facilita.
🧬 Related Insights
- Read more: Crooks Scout Zillow for Vacant Houses to Hijack Your Mail
- Read more: LatAm’s Hidden Cyber Wizards: Self-Taught Talent Ready to Crush the Attack Wave
Frequently Asked Questions
What is SparkCat malware? SparkCat é um trojan em apps falsos de iOS e Android que usa OCR pra escanear galerias de fotos atrás de frases de recuperação de carteiras crypto, depois rouba as imagens.
How does SparkCat get into App Store apps? Ele se esconde em apps inofensivos como mensageiros ou entregas, usando ofuscação como virtualização de código pra driblar as revisões.
Am I safe if I’m not in Asia? Versão iOS mira frases em inglês — risco global. Checa permissões de apps e evita screenshots de seeds de carteira.
