[07/02/2025] El centro especializado en investigación de amenazas de Kaspersky ha descubierto un nuevo troyano de robo de datos, SparkCat, activo en AppStore y Google Play desde al menos marzo del 2024. Según lo señalado en el comunicado de prensa, se trata del primer caso conocido de malware basado en reconocimiento óptico que aparece en AppStore.
"SparkCat utiliza el aprendizaje automático para escanear galerías de imágenes y robar capturas de pantalla que contienen frases de recuperación de carteras de criptomonedas. También puede encontrar y extraer otros datos sensibles en imágenes, como contraseñas”, comentó Sergey Puzan, analista de malware de Kaspersky.
Kaspersky ha informado de las aplicaciones maliciosas conocidas a Google y Apple.
La aplicación de reparto de comida ComeCome para iOS fue infectada, al igual que su versión para Android.
Cómo se propaga el nuevo malware
El analista explicó que el malware se está propagando tanto a través de apps legítimas infectadas como de señuelos: mensajeros, asistentes de IA, entrega de comida, apps relacionadas con criptomonedas y más. "Algunas de estas apps están disponibles en plataformas oficiales en Google Play y AppStore. Los datos telemétricos de Kaspersky también muestran que se están distribuyendo versiones infectadas a través de otras fuentes no oficiales. En Google Play, estas aplicaciones se han descargado más de 242 mil veces”.
A quién va dirigido
Puzan comentó que el malware se dirige principalmente a usuarios de los Emiratos Árabes Unidos y de países de Europa y Asia. Esta es la conclusión a la que han llegado los expertos basándose tanto en la información sobre las áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware. SparkCat analiza las galerías de imágenes en busca de palabras clave en varios idiomas, como chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos creen que las víctimas podrían ser también de otros países.
Cómo funciona SparkCat
Una vez instalado, en determinados escenarios el nuevo malware solicita acceso para ver las fotos de la galería del smartphone del usuario. A continuación, analiza el texto de las imágenes almacenadas mediante un módulo de reconocimiento óptico de caracteres (OCR). "Si el ladrón detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo principal de los hackers es encontrar frases de recuperación de carteras de criptomonedas. Con esta información, pueden hacerse con el control total de la cartera de la víctima y robar fondos. Además de robar frases de recuperación, el malware es capaz de extraer otra información personal de las capturas de pantalla, como mensajes y contraseñas”, comentó el analista.
Otro ejemplo es una aplicación de señuelo - un mensajero en AppStore.
Dmitry Kalinin, analista de malware de Kaspersky, anotó, asimismo que, la campaña SparkCat tiene algunas características únicas que la hacen peligrosa. "En primer lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin signos evidentes de infección. El sigilo de este troyano hace que sea difícil descubrirlo tanto para los moderadores de las tiendas como para los usuarios de móviles. Además, los permisos que solicita parecen razonables, por lo que son fáciles de pasar por alto. El acceso a la galería a la que intenta acceder el malware puede parecer esencial para que la aplicación funcione correctamente, tal y como parece desde la perspectiva del usuario. Este permiso suele solicitarse en contextos relevantes, como cuando los usuarios se ponen en contacto con el servicio de atención al cliente”.
Al analizar las versiones de Android del malware, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión de iOS contenía nombres de directorios de inicio de desarrolladores, «qiongwu» y «quiwengjing», lo que sugiere que los actores de la amenaza detrás de la campaña hablan chino con fluidez. Sin embargo, no hay pruebas suficientes para atribuir la campaña a un grupo conocido de ciberdelincuentes.
Ataques con tecnología ML
Los ciberdelincuentes prestan cada vez más atención a las redes neuronales en sus herramientas nefastas. Kalinin anotó que en el caso de SparkCat, el módulo de Android descifra y ejecuta un plugin OCR que utiliza la biblioteca ML Kit de Google para reconocer texto en imágenes almacenadas. Un método similar se utilizó en su módulo malicioso para iOS.
Las soluciones de Kaspersky protegen a los usuarios de Android e iOS de SparkCat. Se detecta como HEUR:Trojan.IphoneOS.SparkCat.* y HEUR:Trojan.AndroidOS.SparkCat.*.
Franca Cavassa, CTOPerú