Kaspersky advierte que SparkCat accede a datos sensibles de los usuarios e información de billeteras crypto

El equipo de investigación de amenazas de Kaspersky identificó una nueva variante de SparkCat en aplicaciones disponibles en la App Store y en Google Play, un año después del descubrimiento de la versión anterior que robaba criptomonedas de los usuarios. El malware se oculta en aplicaciones aparentemente legítimas y analiza las fotos almacenadas en la galería en busca de frases de recuperación de billeteras digitales. Ante este panorama, los expertos refuerzan la importancia de adoptar medidas de protección para evitar la exposición de datos sensibles.

La nueva versión de SparkCat se está distribuyendo a través de aplicaciones legítimas infectadas, incluyendo apps de mensajería desarrolladas para comunicación empresarial y una aplicación de entrega de comida. Los especialistas de Kaspersky identificaron dos aplicaciones comprometidas en la App Store y una en Google Play, cuyo código malicioso ya fue eliminado. Los datos de telemetría de Kaspersky también indican que estas aplicaciones infectadas se distribuyen por otras vías, incluyendo páginas web que, al ser accedidas desde un iPhone, simulan la interfaz de la App Store.

La variante actualizada del malware para Android analiza las galerías de imágenes de los dispositivos comprometidos en busca de capturas de pantalla que contengan palabras clave específicas en japonés, coreano y chino, lo que indica que la campaña tiene como principal objetivo a usuarios asiáticos y sus activos en criptomonedas. Por su parte, la versión para iOS adopta un enfoque distinto, buscando códigos de recuperación de billeteras de criptomonedas en inglés, lo que amplía potencialmente su alcance a usuarios de diferentes regiones.

En la práctica, la versión actualizada de SparkCat para Android incorpora varias capas adicionales para dificultar la identificación del código, incluyendo técnicas como virtualización y el uso de lenguajes de programación multiplataforma, aún poco comunes en malware dirigido a dispositivos móviles.

Kaspersky notificó a Google y a Apple sobre las aplicaciones maliciosas identificadas.

“En determinados escenarios, la variante actualizada solicita acceso a la galería de fotos del dispositivo, al igual que la versión anterior, y utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes. Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes”, Fabio Assolini, investigador líder en Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

“El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales. El uso de virtualización de código y lenguajes multiplataforma demuestra un alto nivel de sofisticación, aún poco común en malware móvil. Las similitudes entre las versiones también indican que probablemente se trata de los mismos desarrolladores detrás de la amenaza, lo que refuerza la importancia de utilizar soluciones de seguridad para proteger los dispositivos móviles”, añade el especialista.

Las soluciones de Kaspersky detectan esta amenaza con los veredictos: HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*

Para reducir los riesgos de infección, Kaspersky recomienda:

• Utilizar una solución de ciberseguridad confiable, como Kaspersky for Mobile. En Android, la herramienta impide la instalación del malware, mientras que en iOS bloquea intentos de conexión con servidores maliciosos y alerta al usuario.
• Evitar almacenar en la galería capturas de pantalla con información sensible, como frases clave de billeteras de criptomonedas. Estos datos deben mantenerse en aplicaciones especializadas, como Kaspersky Password Manager.
• Mantener precaución al descargar aplicaciones, incluso desde tiendas oficiales, ya que no están completamente libres de riesgos.

Origen

El centro de especialistas Kaspersky Threat Research ha descubierto un nuevo troyano que roba datos, denominado SparkCat, activo en AppStore y Google Play desde, al menos, marzo de 2024. Se trata de la primera instancia conocida de malware basado en reconocimiento óptico en AppStore. SparkCat usa aprendizaje automático para escanear galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas. También puede encontrar y extraer otros datos sensibles en imágenes, como contraseñas.

Cómo se propaga el nuevo malware.

El malware se está propagando tanto a través de aplicaciones legítimas infectadas como mediante señuelos: mensajeros, asistentes de IA, aplicaciones de entrega de alimentos, aplicaciones relacionadas con criptomonedas, entre otras. Algunas de estas aplicaciones están disponibles en las plataformas oficiales de Google Play y AppStore. Además, los datos de telemetría de Kaspersky indican que versiones infectadas se están distribuyendo mediante otras fuentes no oficiales. En Google Play, estas aplicaciones han sido descargadas más de 242,000 veces.

¿A quién se dirige?

El malware se dirige principalmente a usuarios en los Emiratos Árabes Unidos y a países de Europa y Asia. Esto concluyeron los expertos basándose tanto en la información sobre las áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware. SparkCat examina las galerías de imágenes en busca de palabras clave en varios idiomas, incluidos chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos creen que las víctimas podrían provenir de otros países.

Una vez instalado, en ciertos escenarios el nuevo malware solicita acceso para ver las fotos en la galería del smartphone del usuario. A continuación, analiza el texto en las imágenes almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si el programa detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo principal de los hackers es encontrar frases de recuperación para las billeteras de criptomonedas. Con esta información, pueden obtener el control total sobre la billetera de la víctima y sustraer fondos. Además de robar frases de recuperación, el malware es capaz de extraer otra información personal de las capturas de pantalla, como mensajes y contraseñas.

“Este es el primer caso conocido de un troyano basado en OCR que se ha colado en AppStore”, afirmó Leandro Cuozzo, analista de malware en Kaspersky. “En cuanto a AppStore y Google Play, por el momento no está claro si las aplicaciones en estas tiendas fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros métodos diversos. Algunas aplicaciones, como los servicios de entrega de alimentos, parecen legítimas, mientras que otras están claramente diseñadas como señuelos.”

“La campaña SparkCat tiene algunas características únicas que la hacen peligrosa. En primer lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes de infección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores de las tiendas como para los usuarios móviles. Además, los permisos que solicita parecen razonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intenta alcanzar puede parecer esencial para el correcto funcionamiento de la aplicación, al menos desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos pertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente”, agregó Cuozzo.

Al analizar las versiones Android del malware, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de directorios de inicio de desarrollador, “qiongwu” y “quiwengjing”, lo que sugiere que los actores de la amenaza detrás de la campaña dominan el chino. Sin embargo, no existen suficientes pruebas para atribuir la campaña a un grupo cibercriminal conocido.

Ataques impulsados por aprendizaje automático

Los ciberdelincuentes están prestando cada vez más atención a las redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo para Android descifra y ejecuta un plugin OCR utilizando la biblioteca Google ML Kit para reconocer el texto en las imágenes almacenadas. Se empleó un método similar en su módulo malicioso para iOS.

Las soluciones de Kaspersky protegen tanto a los usuarios de Android como a los de iOS contra SparkCat. Se detecta como HEUR:Trojan.IphoneOS.SparkCat.* y HEUR:Trojan.AndroidOS.SparkCat.*.

Un informe completo sobre esta campaña de malware está disponible en Securelist.

Para evitar convertirse en una víctima de este malware, Kaspersky recomienda las siguientes medidas de seguridad:

• Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la utilices hasta que se publique una actualización que elimine la funcionalidad maliciosa.
• Evita almacenar capturas de pantalla que contengan información sensible en tu galería, incluidas las frases de recuperación de billeteras de criptomonedas. Por ejemplo, las contraseñas podrían guardarse en aplicaciones especializadas como Kaspersky Password Manager.
• Utiliza un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware.

Origen