Malware oculto em aplicativos aparentemente legítimos solicita acesso à galeria, aplica OCR em imagens e envia arquivos com frases mnemônicas de carteiras para servidor controlado por operadores.
| Componente | SparkCat em aplicativos móveis para iOS e Android, incluindo o app Android SafeX no pacote com.ekhizc.carterocourrier versão 2.1.0. |
| Vetor | Aplicativos aparentemente benignos, como mensageiros corporativos e serviços de entrega de comida, solicitam acesso à galeria do smartphone em certos cenários. |
| Impacto | O malware usa OCR para identificar imagens com frases de recuperação de carteiras de criptomoedas e envia imagens selecionadas para infraestrutura controlada pelos operadores. |
| Prioridade | Remover aplicativos suspeitos, revisar permissões de acesso a fotos, caçar eventos de leitura anômala de galeria e orientar usuários a não manter frases de recuperação em imagens. |
| Artefatos | Foram identificados dois aplicativos infectados na App Store e um no Google Play; o nome informado para Android é SafeX. |
| Alvo | A campanha mira principalmente usuários de criptomoedas na Ásia, com a variante Android procurando palavras-chave em japonês, coreano e chinês; a variante iOS procura frases mnemônicas em inglês. |
Uma nova versão do SparkCat foi identificada em aplicativos distribuídos pela Apple App Store e pelo Google Play, mais de um ano depois de o trojan ter sido documentado em ataques contra os dois principais ecossistemas móveis. A operação mantém a característica central da família: esconder capacidade maliciosa dentro de aplicativos que aparentam ter finalidade legítima e abusar do acesso à galeria para procurar imagens relacionadas a carteiras de criptomoedas.
O comportamento observado concentra-se no roubo de imagens que possam conter frases de recuperação, também conhecidas como frases mnemônicas. Em vez de capturar todos os arquivos de imagem de forma indiscriminada, o malware analisa texto presente nas fotos por meio de um módulo de reconhecimento óptico de caracteres. Quando encontra termos considerados relevantes, a imagem é enviada a um servidor controlado pelos operadores, o que reduz ruído operacional e direciona a coleta para material com valor financeiro direto.
A campanha foi encontrada em dois aplicativos infectados na App Store e em um aplicativo no Google Play. A listagem disponível identifica o app Android SafeX, pacote com.ekhizc.carterocourrier, versão 2.1.0. O conjunto de aplicativos infectados foi descrito como composto por softwares aparentemente comuns, incluindo mensageiros corporativos e serviços de entrega de comida, o que amplia a chance de instalação por usuários que não associariam essas categorias a risco direto contra carteiras cripto.
A versão Android recebeu camadas adicionais de ofuscação em relação a iterações anteriores. O código incorpora virtualização e linguagens de programação multiplataforma para dificultar análise estática e engenharia reversa. Esse detalhe indica evolução ativa, porque a defesa precisa considerar não apenas a função de roubo em si, mas também a tentativa de atrasar detecção, classificação e extração de indicadores confiáveis.
O fluxo começa com a instalação de um aplicativo que se apresenta como serviço legítimo. Em determinados cenários, o aplicativo solicita permissão para visualizar fotos armazenadas no smartphone. A permissão é crítica porque transforma a galeria em superfície de coleta: usuários frequentemente salvam capturas de tela de frases de recuperação, anotações de carteira ou instruções de configuração, e esse tipo de imagem pode permitir recuperação indevida de ativos se cair nas mãos de um operador malicioso.
Depois de obter acesso, o SparkCat percorre imagens armazenadas e submete o conteúdo visual a OCR. A análise não depende de o usuário digitar a frase em um formulário malicioso; o alvo são textos já presentes em arquivos de imagem. Esse modelo é particularmente perigoso em dispositivos móveis porque capturas de tela costumam ser sincronizadas, preservadas em álbuns e compartilhadas entre aplicativos sem a mesma atenção dada a arquivos de senha ou cofres dedicados.
A variante Android procura palavras-chave em japonês, coreano e chinês, sinalizando foco regional na Ásia. Já a variante iOS usa uma estratégia diferente: ela procura frases mnemônicas de carteiras em inglês. Esse detalhe amplia o alcance potencial da versão iOS, porque frases de recuperação em inglês são comuns mesmo quando o usuário está fora de regiões anglófonas. O impacto, portanto, não fica limitado ao idioma local do dispositivo nem ao país do usuário.
Quando o mecanismo encontra palavras relevantes, o malware envia a imagem correspondente para os operadores. O material disponível não informa credenciais roubadas, endereços de carteira, hashes de amostras, domínios de comando e controle ou payloads adicionais. Assim, o impacto confirmado deve permanecer no roubo seletivo de imagens com possível frase de recuperação, sem extrapolar para movimentação lateral, vazamento amplo de dados do dispositivo ou controle remoto completo do aparelho.
A superfície principal são dispositivos iOS e Android de usuários que instalaram aplicativos infectados e concederam acesso à galeria. O risco aumenta para pessoas que usam carteiras de criptomoedas e mantêm frases de recuperação em capturas de tela, fotos de papel, imagens sincronizadas ou álbuns acessíveis por aplicativos móveis. O tipo de permissão explorado é comum e pode parecer coerente para aplicativos de comunicação, entrega ou serviços corporativos, especialmente quando a interface apresenta um motivo funcional para anexar ou visualizar imagens.
No Android, a presença do SafeX com pacote com.ekhizc.carterocourrier e versão 2.1.0 fornece um artefato concreto para inventário. No iOS, a informação disponível confirma dois aplicativos infectados na App Store, mas não fornece seus nomes. A ausência desses nomes exige abordagem defensiva baseada em comportamento e permissões, não apenas bloqueio por identificador de aplicativo.
A existência de ofuscação por virtualização de código e uso de linguagens multiplataforma no Android também afeta equipes de análise. Ferramentas que dependem apenas de padrões simples de bytecode, nomes de classes ou strings visíveis podem perder partes relevantes do fluxo. A investigação deve combinar inventário de aplicativos, permissões concedidas, análise de tráfego e sinais de leitura incomum da galeria.
- Dispositivos iOS e Android com aplicativos infectados instalados e permissão de acesso a fotos concedida.
- Usuários de criptomoedas que armazenam frases de recuperação como imagem, captura de tela ou foto de anotação física.
- Ambientes móveis em que aplicativos de mensageria corporativa ou entrega são tratados como confiáveis sem revisão de permissões.
- App Android SafeX no pacote
com.ekhizc.carterocourrier, versão 2.1.0, como artefato nomeado para verificação.
A caça deve começar pelo inventário de aplicativos móveis gerenciados e não gerenciados. Em ambientes com MDM ou EDR móvel, procure instalações do pacote Android informado e outros aplicativos recém-instalados que tenham solicitado acesso a fotos sem necessidade clara para a função de negócio. A revisão deve correlacionar data de instalação, concessão de permissão, categoria do aplicativo e perfil do usuário, principalmente quando houver uso de carteiras cripto em dispositivos pessoais ou corporativos.
Na telemetria de endpoint móvel, eventos de leitura repetida da galeria após a abertura do aplicativo merecem atenção. O comportamento relevante não é apenas a permissão em si, mas a combinação de acesso a múltiplas imagens, processamento local de texto e comunicação externa após identificação de conteúdo sensível. Como a campanha usa OCR, a defesa deve tratar o processamento de imagens como parte do fluxo de coleta, mesmo quando não houver captura de teclado, formulário falso ou redirecionamento para página de phishing.
Em rede, a busca deve focar comunicações de aplicativos móveis suspeitos para destinos externos após eventos de acesso à galeria. O material disponível não traz domínios ou endereços de servidor, portanto não há IoCs de infraestrutura para publicar. A ausência de indicadores prontos reforça a necessidade de detecção por comportamento, análise de permissões e validação de aplicativos instalados a partir das lojas oficiais.
- Instalação do pacote
com.ekhizc.carterocourrierassociado ao app SafeX versão 2.1.0. - Concessão recente de permissão de acesso a fotos para aplicativos sem necessidade funcional evidente.
- Leitura sequencial ou incomum de imagens da galeria seguida por tráfego externo do mesmo aplicativo.
- Aplicativos móveis que combinam aparência legítima, permissões sensíveis e código ofuscado por virtualização ou camadas multiplataforma.
A resposta deve priorizar remoção de aplicativos suspeitos, revogação de permissões de acesso à galeria e revisão de dispositivos que armazenam material de recuperação de carteiras em formato de imagem. Usuários que mantiveram frases mnemônicas em capturas de tela devem considerar esse segredo exposto se o dispositivo executou aplicativo infectado com acesso a fotos. A medida defensiva mais importante é eliminar esse hábito operacional e migrar a guarda da frase para meios offline apropriados, sem cópias digitais em galerias sincronizadas.
Equipes de segurança devem atualizar políticas de MDM para restringir permissões excessivas em aplicativos não aprovados, monitorar instalação de apps fora do catálogo corporativo e revisar exceções concedidas a mensageiros e serviços de conveniência. Em dispositivos corporativos, a presença de carteiras de criptomoedas e imagens de frases de recuperação deve ser tratada como risco de segurança e de conformidade, porque mistura ativo financeiro pessoal com superfície de software corporativo.
Para investigação, preserve registros de instalação, permissões e tráfego antes de remover artefatos quando isso for necessário para análise. A contenção deve incluir troca de dispositivo ou reinstalação controlada quando houver sinais de persistência não esclarecida, embora o material disponível não confirme persistência além do aplicativo instalado. A validação final deve comprovar que o aplicativo foi removido, a permissão foi revogada, não há novas leituras anômalas da galeria e os usuários afetados receberam orientação específica sobre frases de recuperação.
- Remover o app SafeX quando identificado com o pacote
com.ekhizc.carterocourriere revisar aplicativos com função semelhante instalados no mesmo período. - Revogar permissões de acesso a fotos para aplicativos que não precisam dessa capacidade para operação essencial.
- Orientar usuários a apagar imagens com frases de recuperação de galerias locais e sincronizadas, após transferir a guarda para meio offline seguro.
- Criar regra de inventário para aplicativos móveis que solicitam acesso à galeria e não pertencem ao catálogo aprovado.
- Correlacionar acesso à galeria, OCR suspeito e comunicação externa para detectar variantes sem depender de IoCs de infraestrutura.
0 Comentários