El centro de especialistas Kaspersky Threat Research ha descubierto un nuevo troyano que roba datos, denominado SparkCat, activo en AppStore y Google Play desde, al menos, marzo de 2024. Se trata de la primera instancia conocida de malware basado en reconocimiento óptico en AppStore. SparkCat usa aprendizaje automático para escanear galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas. También puede encontrar y extraer otros datos sensibles en imágenes, como contraseñas.
Cómo se propaga el nuevo malware.
El malware se está propagando tanto a través de aplicaciones legítimas infectadas como mediante señuelos: mensajeros, asistentes de IA, aplicaciones de entrega de alimentos, aplicaciones relacionadas con criptomonedas, entre otras. Algunas de estas aplicaciones están disponibles en las plataformas oficiales de Google Play y AppStore. Además, los datos de telemetría de Kaspersky indican que versiones infectadas se están distribuyendo mediante otras fuentes no oficiales. En Google Play, estas aplicaciones han sido descargadas más de 242,000 veces.
¿A quién se dirige?
El malware se dirige principalmente a usuarios en los Emiratos Árabes Unidos y a países de Europa y Asia. Esto concluyeron los expertos basándose tanto en la información sobre las áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware. SparkCat examina las galerías de imágenes en busca de palabras clave en varios idiomas, incluidos chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos creen que las víctimas podrían provenir de otros países.
Cómo funciona SparkCat
Una vez instalado, en ciertos escenarios el nuevo malware solicita acceso para ver las fotos en la galería del smartphone del usuario. A continuación, analiza el texto en las imágenes almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si el programa detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo principal de los hackers es encontrar frases de recuperación para las billeteras de criptomonedas. Con esta información, pueden obtener el control total sobre la billetera de la víctima y sustraer fondos. Además de robar frases de recuperación, el malware es capaz de extraer otra información personal de las capturas de pantalla, como mensajes y contraseñas.
“Este es el primer caso conocido de un troyano basado en OCR que se ha colado en AppStore”, afirmó Leandro Cuozzo, analista de malware en Kaspersky. “En cuanto a AppStore y Google Play, por el momento no está claro si las aplicaciones en estas tiendas fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros métodos diversos. Algunas aplicaciones, como los servicios de entrega de alimentos, parecen legítimas, mientras que otras están claramente diseñadas como señuelos.”
“La campaña SparkCat tiene algunas características únicas que la hacen peligrosa. En primer lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes de infección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores de las tiendas como para los usuarios móviles. Además, los permisos que solicita parecen razonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intenta alcanzar puede parecer esencial para el correcto funcionamiento de la aplicación, al menos desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos pertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente”, agregó Cuozzo.
Al analizar las versiones Android del malware, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de directorios de inicio de desarrollador, “qiongwu” y “quiwengjing”, lo que sugiere que los actores de la amenaza detrás de la campaña dominan el chino. Sin embargo, no existen suficientes pruebas para atribuir la campaña a un grupo cibercriminal conocido.
Ataques impulsados por aprendizaje automático
Los ciberdelincuentes están prestando cada vez más atención a las redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo para Android descifra y ejecuta un plugin OCR utilizando la biblioteca Google ML Kit para reconocer el texto en las imágenes almacenadas. Se empleó un método similar en su módulo malicioso para iOS.
Las soluciones de Kaspersky protegen tanto a los usuarios de Android como a los de iOS contra SparkCat. Se detecta como HEUR:Trojan.IphoneOS.SparkCat y HEUR:Trojan.AndroidOS.SparkCat.
Para evitar convertirse en una víctima de este malware, Kaspersky recomienda las siguientes medidas de seguridad:
●Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la utilices hasta que se publique una actualización que elimine la funcionalidad maliciosa.
●Evita almacenar capturas de pantalla que contengan información sensible en tu galería, incluidas las frases de recuperación de billeteras de criptomonedas. Por ejemplo, las contraseñas podrían guardarse en aplicaciones especializadas como Kaspersky Password Manager.
●Utiliza un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware.
Investigación de Amenazas
El equipo de Investigación de Amenazas es una autoridad líder en la protección contra ciberamenazas. Al involucrarse activamente tanto en el análisis de amenazas como en la creación de tecnología, nuestros expertos aseguran que las soluciones de ciberseguridad de Kaspersky estén basadas en información profunda y sean excepcionalmente potentes, proporcionando inteligencia crítica sobre amenazas y una seguridad robusta a nuestros clientes y a la comunidad en general.
Fuente. Kaspersky
