Kaspersky advierte que SparkCat accede a datos sensibles de los usuarios e información de billeteras crypto

El equipo de investigación de amenazas de Kaspersky identificó una nueva variante de SparkCat en aplicaciones disponibles en la App Store y en Google Play, un año después del descubrimiento de la versión anterior que robaba criptomonedas de los usuarios. El malware se oculta en aplicaciones aparentemente legítimas y analiza las fotos almacenadas en la galería en busca de frases de recuperación de billeteras digitales. Ante este panorama, los expertos refuerzan la importancia de adoptar medidas de protección para evitar la exposición de datos sensibles.

La nueva versión de SparkCat se está distribuyendo a través de aplicaciones legítimas infectadas, incluyendo apps de mensajería desarrolladas para comunicación empresarial y una aplicación de entrega de comida. Los especialistas de Kaspersky identificaron dos aplicaciones comprometidas en la App Store y una en Google Play, cuyo código malicioso ya fue eliminado. Los datos de telemetría de Kaspersky también indican que estas aplicaciones infectadas se distribuyen por otras vías, incluyendo páginas web que, al ser accedidas desde un iPhone, simulan la interfaz de la App Store.

La variante actualizada del malware para Android analiza las galerías de imágenes de los dispositivos comprometidos en busca de capturas de pantalla que contengan palabras clave específicas en japonés, coreano y chino, lo que indica que la campaña tiene como principal objetivo a usuarios asiáticos y sus activos en criptomonedas. Por su parte, la versión para iOS adopta un enfoque distinto, buscando códigos de recuperación de billeteras de criptomonedas en inglés, lo que amplía potencialmente su alcance a usuarios de diferentes regiones.

En la práctica, la versión actualizada de SparkCat para Android incorpora varias capas adicionales para dificultar la identificación del código, incluyendo técnicas como virtualización y el uso de lenguajes de programación multiplataforma, aún poco comunes en malware dirigido a dispositivos móviles.

Kaspersky notificó a Google y a Apple sobre las aplicaciones maliciosas identificadas.

“En determinados escenarios, la variante actualizada solicita acceso a la galería de fotos del dispositivo, al igual que la versión anterior, y utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes. Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes”, Fabio Assolini, investigador líder en Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

“El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales. El uso de virtualización de código y lenguajes multiplataforma demuestra un alto nivel de sofisticación, aún poco común en malware móvil. Las similitudes entre las versiones también indican que probablemente se trata de los mismos desarrolladores detrás de la amenaza, lo que refuerza la importancia de utilizar soluciones de seguridad para proteger los dispositivos móviles”, añade el especialista.

Las soluciones de Kaspersky detectan esta amenaza con los veredictos: HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*

Para reducir los riesgos de infección, Kaspersky recomienda:

• Utilizar una solución de ciberseguridad confiable, como Kaspersky for Mobile. En Android, la herramienta impide la instalación del malware, mientras que en iOS bloquea intentos de conexión con servidores maliciosos y alerta al usuario.
• Evitar almacenar en la galería capturas de pantalla con información sensible, como frases clave de billeteras de criptomonedas. Estos datos deben mantenerse en aplicaciones especializadas, como Kaspersky Password Manager.
• Mantener precaución al descargar aplicaciones, incluso desde tiendas oficiales, ya que no están completamente libres de riesgos.

Origen

Kaspersky detectó SparkKitty, un malware que se oculta en aplicaciones móviles para acceder a fotos del usuario y extraer datos vinculados a criptomonedas.

Investigadores de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que ataca teléfonos inteligentes con sistemas operativos iOS y Android. Este malware envía a los atacantes imágenes del teléfono infectado e información sobre el dispositivo. El malware estaba incrustado en aplicaciones relacionadas con criptomonedas y apuestas, así como en una aplicación de TikTok troyanizada, y fue distribuido tanto en App Store como en Google Play, además de en sitios web fraudulentos. Los expertos sugieren que el objetivo de los atacantes es robar activos en criptomoneda.

Kaspersky ha informado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles técnicos indican que esta nueva campaña podría estar relacionada con SparkCat, un troyano detectado anteriormente que fue el primero en su tipo en atacar dispositivos iOS. SparkCat incluía una función de reconocimiento óptico de caracteres (OCR), que le permitía revisar las galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas o contraseñas. El caso de SparkKitty marca la segunda vez en un año que los expertos de Kaspersky detectan un troyano ladrón en la App Store.

En la App Store, el troyano se hacía pasar por una aplicación relacionada con criptomonedas llamada ?coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de iPhone, el malware se distribuía bajo la apariencia de aplicaciones de TikTok y apuestas.

“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo, como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores. Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok, que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines maliciosos”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky

En el caso del sistema Android, los atacantes apuntaron a usuarios tanto en sitios web de terceros como en Google Play, haciendo pasar el malware por varios servicios de criptomonedas. Por ejemplo, una de las aplicaciones infectadas —un mensajero llamado SOEX con función de intercambio de criptomonedas— fue descargada más de 10.000 veces desde la tienda oficial.

Los expertos también encontraron archivos APK de aplicaciones infectadas (que se pueden instalar directamente en teléfonos Android, sin pasar por las tiendas oficiales) en sitios web de terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas apps se presentaban como proyectos de inversión en criptomonedas. Los sitios web en los que se alojaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.

“Una vez instaladas, las aplicaciones funcionaban tal como se describía, sin embargo, en segundo plano enviaban a los atacantes las fotos de la galería del teléfono. Estos pueden intentar luego encontrar datos confidenciales en las imágenes, como frases de recuperación de billeteras de criptomonedas con el fin de acceder a los activos de las víctimas. Hay señales indirectas de que los atacantes están interesados en los activos digitales de las personas: muchas de las aplicaciones infectadas estaban relacionadas con criptomonedas, y la app de TikTok ‘troyanizada’ también tenía una tienda integrada que solo aceptaba pagos en cripto”, agregó el experto.

Para evitar convertirse en víctima de este malware, los expertos de Kaspersky recomiendan:

• Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la vuelvas a usar hasta que se publique una actualización que corrobore que su funcionalidad maliciosa ya no está presente.
• Si una app solicita acceso a tu galería de fotos, asegúrate de que realmente lo necesita. Conceder permisos innecesarios puede facilitar el robo de imágenes con información sensible.
• Evita guardar en tu galería capturas de pantalla con información sensible, como frases de recuperación de billeteras de criptomonedas o bien, tus claves de acceso. Las contraseñas, por ejemplo, pueden almacenarse en aplicaciones especializadas como Kaspersky Password Manager.
• Usa un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware. Debido a la arquitectura del sistema operativo de Apple, la solución de Kaspersky para iOS muestra una advertencia si detecta un intento de transferencia de datos al servidor del atacante, y bloquea dicha conexión.

Origen