A empresa russa de software de cibersegurança Kaspersky divulgou, na última terça-feira (4), um estudo que revela ter identificado um vírus capaz de ler imagens capturadas e salvas na galeria do iPhone, burlando as medidas de segurança da Apple, que, como reconhecido pela companhia, é conhecida por seu sistema inteligente de identificação e bloqueio de malwares em seus sistemas operacionais, como o iOS para iPhones e o macOS, para sua linha de computadores.
Segundo a Kaspersky, esta é a primeira vez que um malware baseado em reconhecimento óptico de caracteres (OCR) foi identificado em aplicativos baixados na Apple Store do iPhone.
Denominado SparkCat, o malware utiliza aprendizado de máquina para escanear imagens da galeria e “roubar” informações disponíveis em imagens que contenham dados sensíveis. Mais especificamente, em capturas de tela com frases de recuperação de carteiras de criptomoedas. Isso significa que o vírus é capaz de escanear, decodificar e extrair informações dessas imagens.
De acordo com os dados divulgados, o Trojan tem se espalhado tanto em aplicativos legítimos quanto naqueles que a Kaspersky chama de “iscas”, como apps de mensagens, assistentes de IA e apps de delivery relacionados a criptomoedas. O estudo aponta que o malware tem atingido usuários dos Emirados Árabes Unidos e países da Europa e Ásia, além de indicar que o SparkCat realiza varredura nas galerias de imagens, buscando palavras-chave em idiomas como chinês, japonês, coreano, inglês, tcheco, francês, italiano, polonês e português. Usuários de outros países também podem estar sendo afetados.
“Este é o primeiro caso conhecido de um Trojan baseado em OCR a se infiltrar na Apple Store”, disse Sergey Puzan, analista de malware da Kaspersky, no comunicado da empresa. “Em termos tanto da Apple Store quanto do Google Play, neste momento, não está claro se os aplicativos nessas lojas foram comprometidos por um ataque à cadeia de suprimentos ou por vários outros métodos. Alguns aplicativos, como os de entrega de alimentos, parecem legítimos, enquanto outros são claramente projetados como iscas”, revelou.
Como funciona?
De acordo com o estudo, ao baixar um aplicativo infectado, o usuário precisará conceder algumas permissões, incluindo o acesso à galeria de imagens do iPhone. Com a permissão concedida, o SparkCat começa a usar o reconhecimento óptico de caracteres para analisar o texto das imagens. Caso encontre palavras-chave importantes, a imagem é enviada para os criminosos por trás do vírus. O principal alvo são as frases de recuperação de carteiras de criptomoeda, que, se capturadas, permitem o roubo de fundos. Além disso, o malware pode extrair outros dados pessoais, como senhas e mensagens, de capturas de tela.
“A campanha SparkCat tem algumas características únicas que a tornam perigosa. Em primeiro lugar, ela se espalha por lojas de aplicativos oficiais e opera sem sinais óbvios de infecção. A furtividade deste Trojan torna difícil descobri-lo tanto para moderadores das lojas quanto para os usuários móveis. Além disso, as permissões que ele solicita parecem razoáveis, o que as torna fáceis de ignorar. O acesso à galeria que o malware tenta alcançar pode parecer essencial para o bom funcionamento do aplicativo, já que é assim que ele aparece para o usuário. Essa permissão é normalmente solicitada em contextos relevantes, como quando os usuários entram em contato com o suporte ao cliente”, diz Dmitry Kalinin, analista de malware da Kaspersky, no comunicado da empresa.
Recomendações para evitar ataques
Para evitar ser vítima do SparkCat, a Kaspersky recomenda evitar armazenar capturas de tela que contenham informações sensíveis na galeria de imagens, incluindo frases de recuperação de carteiras de criptomoeda. Além disso, a empresa sugere buscar softwares de cibersegurança confiáveis e, caso identifique que um aplicativo infectado foi instalado, removê-lo do dispositivo e não utilizá-lo até que uma atualização seja lançada contra a ação do malware.
Fonte: gazzconecta
