Apple e Google removeram até 20 aplicativos de suas respectivas lojas de aplicativos após pesquisadores de segurança descobrirem que os aplicativos estavam carregando um malware que rouba dados por quase um ano.
Pesquisadores de segurança da Kaspersky disseram que o malware, chamado SparkCat, está ativo desde março de 2024. Inicialmente, os pesquisadores encontraram a estrutura maliciosa dentro de um aplicativo de entrega de comida usado nos Emirados Árabes Unidos e na Indonésia, mas depois encontraram o malware em outros 19 aplicativos não relacionados, que, segundo eles, foram baixados cumulativamente mais de 242.000 vezes através da Google Play Store.
Usando um código projetado para capturar texto visível na tela do usuário — conhecido como reconhecimento óptico de caracteres (OCR) — os pesquisadores descobriram que o malware escaneava as galerias de imagens nos dispositivos das vítimas em busca de palavras-chave para encontrar frases de recuperação de carteiras de criptomoedas em várias línguas, incluindo inglês, chinês, japonês e coreano.
Ao usar o malware para capturar as frases de recuperação de uma vítima, os atacantes poderiam obter controle total sobre a carteira da vítima e roubar seus fundos, descobriram os pesquisadores.
O malware também poderia permitir a extração de informações pessoais de capturas de tela, como mensagens e senhas, disseram os pesquisadores.
Após receber o relatório dos pesquisadores, a Apple removeu os aplicativos comprometidos da App Store na semana passada, seguida pelo Google.
“Todos os aplicativos identificados foram removidos do Google Play, e os desenvolvedores foram banidos”, disse o porta-voz do Google, Ed Fernandez, ao TechCrunch.
O porta-voz do Google também confirmou que os usuários do Android estavam protegidos contra versões conhecidas desse malware por meio do recurso de segurança Google Play Protect embutido.
A Apple não respondeu a solicitações de comentário.
A porta-voz da Kaspersky, Rosemarie Gonzales, disse ao TechCrunch que, embora os aplicativos relatados tenham sido removidos das lojas de aplicativos oficiais, os dados de telemetria da empresa sugeriam que o malware também estava disponível em outros sites e lojas de aplicativos não oficiais.