SparkCat, un troyano que roba criptomonedas y que se propaga en tiendas de apps oficiales

El centro de investigación de amenazas de Kaspersky ha descubierto un nuevo troyano de robo de datos denominado SparkCat, que emplea aprendizaje automático para analizar galerías de imágenes y robar capturas de pantalla que contengan frases de recuperación de billeteras de criptomonedas. Asimismo, es capaz de identificar y extraer otros datos sensibles de imágenes, como contraseñas.

El malware se distribuye a través de aplicaciones legítimas infectadas y mediante engaños en forma de aplicaciones de mensajería, asistentes de IA, servicios de entrega de comida, aplicaciones relacionadas con criptomonedas y más. Algunas de estas aplicaciones están disponibles en Google Play y AppStore al menos desde marzo de 2024, mientras que otras versiones infectadas se distribuyen a través de fuentes no oficiales. Según los datos de telemetría de Kaspersky, las aplicaciones infectadas en Google Play han sido descargadas más de 242.000 veces.

Por ejemplo, la aplicación de entrega de comida “ComeCome” para iOS resultó infectada, al igual que su versión para Android. Otro ejemplo es una aplicación de mensajería fraudulenta en AppStore.

“Este es el primer caso conocido de un troyano basado en OCR que logra infiltrarse en AppStore”, apunta Sergey Puzan, analista de malware en Kaspersky. “Tanto en AppStore como en Google Play, todavía no está claro si las aplicaciones fueron comprometidas a través de un ataque a la cadena de suministro o por otros métodos. Algunas aplicaciones, como los servicios de entrega de comida, parecen legítimas, mientras que otras están claramente diseñadas como engaños”.

Cómo funciona SparkCat

Una vez instalado, el malware solicita acceso a la galería de fotos del usuario en ciertas situaciones. Luego, analiza el texto en las imágenes almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo principal de los ciberdelincuentes es robar frases de recuperación de monederos de criptomonedas. Con esta información, pueden obtener el control total de la cartera de la víctima y robar sus fondos. Además, el malware puede extraer otras informaciones personales de capturas de pantalla, como mensajes y contraseñas.

Dmitry Kalinin, analista de malware en Kaspersky, explica que la campaña de SparkCat tiene características únicas que la hacen peligrosa. “Primero, se propaga a través de las tiendas oficiales de aplicaciones y opera sin signos evidentes de infección. Su sigilo dificulta su detección tanto para los reguladores de las tiendas como para los usuarios. Además, los permisos que solicita parecen razonables, por lo que pueden pasar desapercibidos. Por ejemplo, el acceso a la galería puede parecer necesario para el funcionamiento de la aplicación, especialmente cuando los usuarios interactúan con el servicio de atención al cliente”.

El malware tiene como objetivo principal usuarios en los Emiratos Árabes Unidos, Europa y Asia. SparkCat busca palabras clave en múltiples idiomas dentro de las galerías de imágenes, incluyendo chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin embargo, los expertos creen que podría haber víctimas en otros países.

Al analizar la versión para Android de SparkCat, los expertos de Kaspersky encontraron comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de directorios de desarrollo como "qiongwu" y "quiwengjing", lo que sugiere que los atacantes detrás de esta campaña son hablantes nativos de chino. Sin embargo, no hay suficiente evidencia para atribuir esta campaña a un grupo cibercriminal específico.