Los investigadores de Kaspersky tienen identificado Una campaña de malware, denominada SparkCat, que distribuye aplicaciones maliciosas en las plataformas de Android e iOS desde marzo de 2024. Este malware emplea el reconocimiento de caracteres ópticos (OCR) para escanear bibliotecas de fotos para frases de recuperación de la billetera de criptomonedas.
“El Centro de Experiencia de Investigación de Amenazas de Kaspersky ha descubierto un nuevo troyano de robo de datos, SparkCat, activo en AppStore y Google Play desde al menos marzo de 2024. Esta es la primera instancia conocida de malware basado en el reconocimiento óptico que aparece en AppStore. SparkCat utiliza el aprendizaje automático para escanear galerías de imágenes y robar capturas de pantalla que contienen frases de recuperación de la billetera de criptomonedas. También puede encontrar y extraer otros datos confidenciales en imágenes, como contraseñas «.
-Kaspersky
Kaspersky identifica el malware SparkCat dirigido a las billeteras criptográficas en iOS y Android
El investigaciónrealizado por Dmitry Kalinin y Sergey Puzan, señalaron que si bien algunas de las aplicaciones afectadas, como los servicios de entrega de alimentos, parecen legítimas, otras parecen engañar deliberadamente a los usuarios. El 6 de febrero, Kaspersky confirmó que las aplicaciones afectadas habían sido eliminadas de la App Store, y Apple informaba la eliminación de 11 aplicaciones que compartían el código con 89 aplicaciones adicionales previamente rechazadas o eliminadas debido a preocupaciones de seguridad.
El malware se encontró principalmente en una aplicación iOS llamada Comecome, que también aparece en Google Play. Según Kaspersky, esta aplicación está diseñada para confiscar el acceso a la criptomoneda de los usuarios capturando capturas de pantalla que contienen frases de recuperación, también denominadas frases de semillas. El malware opera utilizando un Kit de Desarrollo de Software Malicioso (SDK) que descifra un complemento OCR, que facilita el escaneo de capturas de pantalla del dispositivo móvil.
Kaspersky destacó que las aplicaciones infectadas de Google Play se han descargado más de 242,000 veces. Este incidente marca el primer descubrimiento de una aplicación infectada con OCR Spyware en la App Store de Apple, desafiando la noción de infalibilidad de la plataforma contra las amenazas de malware.
Malware Flexible-Ferret se dirige a los usuarios de Mac dando medidas XProtect
El malware no solo se dirige a las frases de recuperación de la billetera criptográfica, sino que también es lo suficientemente flexible como para extraer otra información confidencial de la galería, como mensajes o contraseñas capturadas en capturas de pantalla. Los investigadores enfatizaron que las solicitudes de permisos del malware pueden parecer benignas o necesarias, lo que le permite evadir la detección.
Se estima que la campaña de malware SparkCat se dirige a los usuarios de Android e iOS, principalmente en Europa y Asia. Kaspersky señaló que el método exacto de infección aún está bajo investigación, ya que no pueden confirmar si SparkCat se introdujo a través de un ataque de la cadena de suministro o acciones de desarrolladores maliciosos.
En hallazgos relacionados, Spark abarca un módulo ofuscado identificado como Spark, escrito principalmente en Java, que se comunica con un servidor remoto de comando y control (C2) a través de un protocolo basado en el óxido. Al conectarse al servidor C2, el malware utiliza la interfaz Textrecognizer de la biblioteca ML Kit de Google para extraer texto de imágenes.
El análisis adicional reveló que la naturaleza engañosa del malware le permite engañar a los usuarios para otorgar acceso a sus bibliotecas de fotos después de capturar capturas de pantalla de frases de recuperación. El informe detallado de Kaspersky declaró que «los permisos que solicita puede parecer que son necesarios para su funcionalidad central o parecen inofensivos a primera vista».
Crédito de imagen destacado: Kerem Gülen/ideograma
