Recientemente, el equipo de investigación de amenazas de Kaspersky ha identificado un nuevo troyano cuyo objetivo son las criptomonedas. Conocido como SparkCat, este malware ha estado activo en las tiendas de aplicaciones AppStore y Google Play desde al menos marzo de 2024. Esta situación ha puesto en alerta a usuarios de dispositivos móviles, ya que se trata del primer caso conocido de malware basado en reconocimiento óptico que se ha infiltrado en estas plataformas. La singularidad de SparkCat radica en su capacidad para utilizar el aprendizaje automático (machine learning) para escanear las galerías de imágenes en busca de frases de recuperación de billeteras de criptomonedas. Además, puede detectar y extraer información sensible contenida en otras imágenes, como contraseñas y mensajes.
Kaspersky ha reportado aplicaciones maliciosas a Google y Apple, enfatizando la gravedad de este hallazgo. La propagación del troyano ocurre a través de aplicaciones legítimas infectadas y mediante lures, que son aplicaciones que atraen a los usuarios, como mensajeros, asistentes de inteligencia artificial, servicios de entrega de alimentos y aplicaciones relacionadas con criptomonedas. Algunas de estas aplicaciones, lamentablemente, son accesibles en las plataformas oficiales de Google Play y AppStore. Según datos de telemetría recopilados por Kaspersky, se ha descubierto que hay versiones infectadas de aplicaciones distribuidas a través de fuentes no oficiales, lo que amplía aún más el alcance del malware. En Google Play, estas aplicaciones han sido descargadas más de 242,000 veces, lo que indica el número potencial de usuarios afectados.
Los análisis han mostrado que SparkCat parece dirigirse principalmente a usuarios ubicados en los Emiratos Árabes Unidos, así como en varios países de Europa y Asia. Esta conclusión se basa tanto en la información sobre las áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware. SparkCat está diseñado para escanear galerías de imágenes en busca de palabras clave en múltiples idiomas, que incluyen chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, se estima que las víctimas podrían proceder de otros países, ampliando el alcance de este riesgo. Una vez que los usuarios instalan el malware, en ciertas circunstancias, SparkCat solicita acceso para visualizar fotos en la galería del smartphone.
A través de un módulo de reconocimiento óptico de caracteres (OCR), el troyano analiza el texto en las imágenes almacenadas. Si detecta palabras clave relevantes, envía la imagen a los atacantes, quienes pueden utilizar la información robada para acceder y controlar las billeteras de criptomonedas de las víctimas. El principal objetivo de los hackers es encontrar frases de recuperación de billeteras de criptomonedas. Con esta información, pueden obtener control total sobre las cuentas de los usuarios y, por ende, robar fondos. Además de robar frases de recuperación, el malware tiene la capacidad de extraer otra información personal de las capturas de pantalla, como mensajes y contraseñas, lo que representa un riesgo aún mayor para la privacidad del usuario.
"Este es el primer caso conocido de un troyano basado en OCR que se ha infiltrado en AppStore", afirma Sergey Puzan, analista de malware en Kaspersky. "En el contexto de AppStore y Google Play, aún no está claro si las aplicaciones en estas tiendas fueron comprometidas a través de un ataque de cadena de suministro o mediante otros métodos diversos. Algunas aplicaciones, como las de servicios de entrega de alimentos, parecen legítimas, mientras que otras están claramente diseñadas como lures." El analista de malware, Dmitry Kalinin, también destaca las características únicas de la campaña de SparkCat que la hacen particularmente peligrosa. La propagación del malware a través de tiendas de aplicaciones oficiales y su funcionamiento sin señales evidentes de infección complica su detección tanto para moderadores de las tiendas como para los usuarios de los móviles.
Además, los permisos que solicita parecen razonables y fáciles de pasar por alto, lo que añade una capa adicional de peligrosidad. "El acceso a la galería que intenta alcanzar el malware puede parecer esencial para que la aplicación funcione correctamente, desde la perspectiva del usuario. Este permiso es típicamente solicitado en contextos relevantes, como cuando los usuarios contactan al soporte al cliente", explica Kalinin. Al analizar las versiones de Android del malware, los expertos de Kaspersky encontraron comentarios en el código que estaban escritos en chino. Por otro lado, la versión de iOS contenía nombres de directorios del desarrollador, como "qiongwu" y "quiwengjing", lo que sugiere que los actores detrás de esta campaña poseen un dominio fluido del chino.
Sin embargo, no hay suficientes evidencias que permitan atribuir la campaña a un grupo cibercriminal conocido. Los cibercriminales están empezando a prestar cada vez más atención a las redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo de Android desencripta y ejecuta un plugin OCR utilizando la biblioteca Google ML Kit para reconocer texto en imágenes almacenadas. Se ha utilizado un método similar en el módulo malicioso de iOS. La aparición de troyanos como SparkCat subraya la necesidad de que los usuarios sean más cautelosos al descargar aplicaciones en sus dispositivos móviles.
Es esencial verificar las reseñas, las calificaciones y la legitimidad de las aplicaciones, así como tener precauciones adicionales, como el uso de software de seguridad y la habilitación de autenticación en dos pasos para las cuentas de criptomonedas, con el fin de protegerse contra posibles robos. A medida que el uso de criptomonedas continúa creciendo y evolucionando, las medidas de seguridad deben adaptarse igualmente. La concienciación sobre estas amenazas emergentes se vuelve crucial para mantener a salvo a los usuarios y sus activos digitales.
