La nueva variante del malware utiliza reconocimiento óptico de caracteres para analizar galerías de imágenes en busca de frases de recuperación de billeteras digitales. Apps de mensajería empresarial y delivery identificadas como vectores de infección.
Investigadores de Kaspersky identificaron una nueva variante del malware SparkCat distribuida a través de aplicaciones disponibles en la App Store de Apple y en Google Play, un año después del descubrimiento de la versión original que robaba criptomonedas a usuarios en diferentes regiones.
El código malicioso se oculta en aplicaciones aparentemente legítimas, incluyendo apps de mensajería empresarial y una plataforma de entrega de comida y analiza las fotografías almacenadas en la galería del dispositivo en busca de frases de recuperación de billeteras digitales. Kaspersky confirmó que dos aplicaciones comprometidas fueron detectadas en la App Store y una en Google Play, aunque el código malicioso ya fue eliminado de ambas plataformas tras la notificación a Apple y Google.
La variante actualizada de SparkCat para Android incorpora módulos de reconocimiento óptico de caracteres (OCR) que escanean las galerías de imágenes en busca de capturas de pantalla con palabras clave específicas en japonés, coreano y chino, lo que indica que la campaña tiene como objetivo principal a usuarios asiáticos con activos en criptomonedas. La versión para iOS adopta un enfoque diferente, busca códigos de recuperación de billeteras digitales en inglés, ampliando potencialmente su alcance a usuarios de otras regiones.
Según el comunicado oficial de Kaspersky, cuando el malware identifica palabras clave relevantes en las imágenes, el contenido es exfiltrado a servidores controlados por los atacantes.
Desde la perspectiva técnica, esta nueva variante representa un salto en sofisticación respecto a la versión original. Los desarrolladores del malware incorporaron múltiples capas de ofuscación, incluyendo técnicas de virtualización de código y el uso de lenguajes de programación multiplataforma, metodologías aún poco comunes en el ecosistema de malware móvil.
Fabio Assolini, investigador líder en Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, señaló que estas técnicas de evasión demuestran un alto nivel de desarrollo y que las similitudes entre las versiones sugieren que los mismos actores están detrás de la amenaza desde su aparición inicial.
La telemetría de Kaspersky también reveló que las aplicaciones infectadas se distribuyen por vías alternativas a las tiendas oficiales. Los investigadores identificaron páginas web que, al ser accedidas desde un iPhone, simulan la interfaz de la App Store para engañar a los usuarios y lograr la instalación del malware. Este vector de distribución complementario aumenta la superficie de ataque y dificulta la contención de la campaña, ya que las aplicaciones pueden seguir circulando incluso después de ser eliminadas de los catálogos oficiales.
Las soluciones de seguridad de Kaspersky detectan esta amenaza con los veredictos HEUR:Trojan.AndroidOS.SparkCat y HEUR:Trojan.IphoneOS.SparkCat. Para reducir el riesgo de infección, los especialistas recomiendan utilizar soluciones de ciberseguridad confiables en dispositivos móviles, revisar los permisos solicitados por las aplicaciones antes de otorgar acceso a la galería de fotos, y evitar almacenar capturas de pantalla con frases de recuperación de billeteras en dispositivos conectados a internet.
La persistencia de SparkCat y su evolución técnica confirman que los actores de amenazas continúan perfeccionando sus métodos para evadir los mecanismos de verificación de las tiendas de aplicaciones oficiales.
FUENTE ORIGINAL
Kaspersky↗CURADO POR
Johan Ricardo