El centro de especialistas Kaspersky Threat Research ha identificado un nuevo troyano denominado SparkCat, activo en App Store y Google Play desde al menos marzo de 2024. Se trata del primer caso documentado de malware basado en reconocimiento óptico de caracteres (OCR) en la AppStore, utilizando aprendizaje automático para escanear imágenes en busca de frases de recuperación de billeteras de criptomonedas y otros datos sensibles.
Jonathan Munizaga
Cómo se propaga SparkCat
El malware se distribuye a través de aplicaciones legítimas infectadas y señuelos como mensajeros, asistentes de IA, servicios de entrega y apps de criptomonedas. Algunas versiones han sido descargadas más de 242.000 veces en Google Play, y Kaspersky ha detectado su distribución en fuentes no oficiales.
Los ciberdelincuentes han dirigido esta campaña a usuarios en Emiratos Árabes Unidos, Europa y Asia, aunque podrían existir víctimas en otras regiones. SparkCat analiza las galerías de imágenes en busca de palabras clave en varios idiomas, incluyendo inglés, chino, francés, japonés y portugués.
Una vez instalado, el malware solicita acceso a la galería del dispositivo y emplea reconocimiento óptico de caracteres para detectar frases de recuperación de criptomonedas, que luego son enviadas a los atacantes. También puede extraer contraseñas y mensajes contenidos en capturas de pantalla.
Jonathan Munizaga
Leandro Cuozzo, analista en malware en Kaspersky, afirmó que:
“Este es el primer caso conocido de un troyano basado en OCR que se ha colado en
App Store.
Por el momento no está claro si las aplicaciones en estas tiendas – Google Play y App Store – fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros métodos diversos. Algunas aplicaciones, como los servicios de entrega de alimentos, parecen legítimas, mientras que otras están claramente diseñadas como señuelos.”
Además, Cuozzo agregó que:
“La campaña SparkCat tiene algunas características únicas que la hacen peligrosa. En primerlugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes deinfección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores delas tiendas como para los usuarios móviles. Además, los permisos que solicita parecenrazonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intentaalcanzar puede parecer esencial para el correcto funcionamiento de la aplicación, al menosdesde la perspectiva del usuario. Este permiso se solicita normalmente en contextospertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente”.
Análisis técnico y atribución
El código fuente del malware para Android contiene comentarios en chino, mientras que la versión para iOS incluye nombres de directorios en el mismo idioma, lo que sugiere que los desarrolladores dominan el chino. No obstante, aún no hay evidencia suficiente para vincular la amenaza con un grupo cibercriminal específico.
Ataques con aprendizaje automático
Los delincuentes han utilizado redes neuronales para potenciar SparkCat. Su versión para Android descifra y ejecuta un plugin OCR basado en Google ML Kit, mientras que su contraparte para iOS emplea un método similar.
Kaspersky ha clasificado el malware como HEUR:Trojan.IphoneOS.SparkCat. y HEUR:Trojan.AndroidOS.SparkCat.**, y recomienda las siguientes medidas de protección:
- Eliminar cualquier aplicación infectada y esperar una actualización oficial.
- Evitar almacenar capturas de pantalla con datos sensibles, incluyendo frases de recuperación de billeteras de criptomonedas.
- Utilizar software de ciberseguridad confiable, como Kaspersky Premium, para prevenir infecciones.
Juan Andrés
