El centro de especialistas Kaspersky ha identificado un nuevo troyano que roba datos denominado SparkCat, presente en AppStore y Google Play desde al menos marzo de 2024. Es la primera vez que se detecta malware basado en reconocimiento óptico de caracteres, OCR por sus siglas en inglés, en AppStore. SparkCat emplea aprendizaje automático para analizar galerías de imágenes y sustraer capturas de pantalla con frases de recuperación de billeteras de criptomonedas. Además, puede localizar y extraer otros datos sensibles, como contraseñas, a partir de imágenes (Fuente Kaspersky Latam).
Kaspersky ha reportado las aplicaciones maliciosas detectadas a Google y Apple.
Cómo se propaga el nuevo malware.
El malware se propaga tanto a través de aplicaciones legítimas comprometidas como mediante aplicaciones falsas que imitan a servicios de mensajería, asistentes de IA, servicios de entrega de alimentos, plataformas de criptomonedas, entre otras. Algunas de estas aplicaciones están disponibles en las plataformas oficiales de Google Play y AppStore. En Google Play, estas aplicaciones han sido descargadas más de 242,000 veces. Por otro lado, los datos de telemetría de Kaspersky indican que versiones infectadas se están distribuyendo también mediante otros repositorios no oficiales.
¿A quién se dirige?
El malware se dirige principalmente a usuarios en los Emiratos Árabes Unidos y a países de Europa y Asia. Esto concluyeron los expertos basándose tanto en la información sobre las áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware.
SparkCat examina las galerías de imágenes de las víctimas en busca de palabras clave en varios idiomas como chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos sugieren que el alcance geográfico de las víctimas podría ser aún mayor.
Cómo funciona SparkCat
Una vez instalado, el malware solicita acceso a las fotos de la galería del dispositivo del usuario. A continuación, analiza el texto en las imágenes almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si el programa detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo principal de los cibercriminales es encontrar frases de recuperación de billeteras de criptomonedas. Con esta información, pueden obtener el control total sobre la billetera de la víctima y sustraer fondos. Además de robar frases de recuperación, el malware es capaz de extraer otro tipo de información personal de las capturas de pantalla como mensajes y contraseñas.
“Este es el primer caso conocido de un troyano basado en OCR que ha logrado infiltrarse en AppStore”, afirmó Leandro Cuozzo, analista de malware en Kaspersky. “En cuanto a las aplicaciones infectadas en AppStore y Google Play, por el momento no está claro si las mismas fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros métodos. Algunas de las aplicaciones maliciosas detectadas, como los servicios de entrega de alimentos, parecen legítimas pero que han sido comprometidas, mientras que otras están claramente diseñadas como troyanos.”
“La campaña SparkCat tiene algunas características únicas que la hacen peligrosa. En primer lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes de infección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores de las tiendas como para los usuarios de dispositivos móviles. Además, los permisos que solicita parecen razonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intenta solicitar puede parecer esencial para el correcto funcionamiento de la aplicación, al menos desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos pertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente”, agregó Leandro Cuozzo.
Al analizar las versiones Android del malware, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de directorios como “qiongwu” y “quiwengjing”, lo que sugiere que los actores de la amenaza detrás de la campaña dominan el chino. Sin embargo, no existen suficientes pruebas para atribuir la campaña a un grupo cibercriminal conocido.
Ataques impulsados por aprendizaje automático
Los ciberdelincuentes están prestando cada vez más atención a las redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo para Android descifra y ejecuta un plugin OCR utilizando la biblioteca Google ML Kit para reconocer el texto en las imágenes almacenadas. Se empleó un método similar en su módulo malicioso para iOS.
Las soluciones de Kaspersky protegen tanto a los usuarios de Android como a los de iOS contra SparkCat. El malware se detecta como HEUR:Trojan.IphoneOS.SparkCat.* y HEUR:Trojan.AndroidOS.SparkCat.*.
Un informe completo sobre esta campaña de malware se encuentra disponible en Securelist. Para evitar convertirse en una víctima de este malware, Kaspersky recomienda las siguientes medidas de seguridad:
- Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la utilices hasta que se publique una actualización que elimine la funcionalidad maliciosa.
- Evita almacenar capturas de pantalla que contengan información sensible en tu galería, incluidas las frases de recuperación de billeteras de criptomonedas. Por ejemplo, las contraseñas podrían guardarse en aplicaciones especializadas como Kaspersky Password Manager.
Utiliza un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware.
infosertecla.com 