El centro de investigación de amenazas de Kaspersky ha descubierto un nuevo troyano de robo de datos denominado SparkCat, activo en AppStore y Google Play dese al menos marzo de 2024. Este es el primer caso conocido de malware basado en reconocimiento óptico que aparece en AppStore. SparkCat emplea aprendizaje automático para analizar galerías de imágenes y robar capturas de pantalla que contengan frases de recuperación de billeteras de criptomonedas. Asimismo, es capaz de identificar y extraer otros datos sensibles de imágenes, como contraseñas. En este sentido, los expertos de Kaspersky han informado a Google y Apple sobre las aplicaciones maliciosas conocidas.

Cómo se propaga el nuevo malware

El malware se distribuye a través de aplicaciones legítimas infectadas y mediante engaños en forma de aplicaciones de mensajería, asistentes de IA, servicios de entrega de comida, aplicaciones relacionadas con criptomonedas y más. Algunas de estas aplicaciones están disponibles en Google Play y AppStore, mientras que otras versiones infectadas se distribuyen a través de fuentes no oficiales. Según los datos de telemetría de Kaspersky, las aplicaciones infectadas en Google Play han sido descargadas más de 242.000 veces.

A quiénes está dirigido

El malware tiene como objetivo principal usuarios en los Emiratos Árabes Unidos, Europa y Asia. Esta conclusión se basa en el análisis de las áreas de operación de las aplicaciones infectadas y en el análisis técnico del malware. SparkCat busca palabras clave en múltiples idiomas dentro de las galerías de imágenes, incluyendo chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos creen que podría haber víctimas en otros países.

Por ejemplo, la aplicación de entrega de comida “ComeCome” para iOS resultó infectada, al igual que su versión para Android. Otro ejemplo es una aplicación de mensajería fraudulenta en AppStore.

Cómo funciona SparkCat

Una vez instalado, el malware solicita acceso a la galería de fotos del usuario en ciertas situaciones. Luego, analiza el texto en las imágenes almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si detecta palabras clave relevantes, envía la imagen a los atacantes.

El objetivo principal de los ciberdelincuentes es robar frases de recuperación de monederos de criptomonedas. Con esta información, pueden obtener el control total de la cartera de la víctima y robar sus fondos. Además, el malware puede extraer otras informaciones personales de capturas de pantalla, como mensajes y contraseñas.

“Este es el primer caso conocido de un troyano basado en OCR que logra infiltrarse en AppStore”, apunta Sergey Puzan, analista de malware en Kaspersky. “Tanto en AppStore como en Google Play, todavía no está claro si las aplicaciones fueron comprometidas a través de un ataque a la cadena de suministro o por otros métodos. Algunas aplicaciones, como los servicios de entrega de comida, parecen legítimas, mientras que otras están claramente diseñadas como engaños”, añade.

Por su parte, Dmitry Kalinin, también analista de malware en Kaspersky, explica que la campaña de SparkCat tiene características únicas que la hacen peligrosa. “Primero, se propaga a través de las tiendas oficiales de aplicaciones y opera sin signos evidentes de infección. Su sigilo dificulta su detección tanto para los reguladores de las tiendas como para los usuarios. Además, los permisos que solicita parecen razonables, por lo que pueden pasar desapercibidos. Por ejemplo, el acceso a la galería puede parecer necesario para el funcionamiento de la aplicación, especialmente cuando los usuarios interactúan con el servicio de atención al cliente”, concluye.

Al analizar la versión para Android de SparkCat, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de directorios de desarrollo como «qiongwu» y «quiwengjing«, lo que sugiere que los atacantes detrás de esta campaña son hablantes nativos de chino. Sin embargo, no hay suficiente evidencia para atribuir esta campaña a un grupo cibercriminal específico.

Ataques potenciados por IA

Cada vez más ciberdelincuentes están incorporando redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo para Android descifra y ejecuta un complemento de OCR utilizando la biblioteca Google ML Kit para reconocer texto en imágenes almacenadas. Un método similar se emplea en la versión maliciosa para iOS.

Los ciberdelincuentes están comenzando a integrar redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el módulo de Android descifra y ejecuta un complemento OCR utilizando la biblioteca Google ML Kit para reconocer texto en imágenes almacenadas. Se utilizó un método similar en la versión maliciosa para iOS.