¡Ojo, amig@! Kaspersky ha localizado un troyano llamado SparkCat, activo en apps de AppStore y Google Play desde al menos marzo de 2024. Se trata del primer malware basado en reconocimiento óptico (OCR) que se ha registrado en la AppStore, causando una mayor preocupación en los usuarios de Apple.
SparkCat utiliza técnicas de aprendizaje automático para analizar las galerías de imágenes de los dispositivos móviles, extrayendo capturas que contienen frases de recuperación de billeteras de criptomonedas, además de otros datos sensibles, como contraseñas.
La propagación de este troyano se da a través de apps legítimas infectadas y señuelos, entre los que se incluyen mensajería instantánea, asistentes de IA, apps de entrega de comida y aplicaciones vinculadas a criptomonedas. Algunas de estas aplicaciones se encuentran en las tiendas oficiales, mientras que otras se distribuyen por medios no oficiales, alcanzando más de 242000 descargas en Google Play.
Por ejemplo, la app de entrega de comida ComeCome ha sido identificada con infecciones en sus versiones para iOS y Android, al igual que AnyGPT disponible en la AppStore, que actúa como señuelo.
Según el análisis realizado, los usuarios de los Emiratos Árabes Unidos y de ciertos países en Europa y Asia son los principales objetivos. SparkCat examina las imágenes en busca de palabras en chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Aunque no se menciona ni a España ni al idioma español, igual deberíamos de extremar las precauciones.
¿Cómo funciona SparkCat?
El troyano comienza cuando, en determinadas ocasiones, solicita permiso para acceder a la galería de fotos del dispositivo. Con este acceso, utiliza un módulo OCR para leer el texto que contienen en las imágenes. Si se detectan frases de recuperación de billeteras -las semillas- o contraseñas, se envían dichas imágenes/fotos a los atacantes, permitiéndoles tener el control total de las billeteras y así robarles sus criptos.
En cuanto a la metodología, los autores del malware han incorporado redes neuronales en sus herramientas. El módulo para Android descifra y ejecuta un complemento OCR utilizando la biblioteca Google ML Kit, mientras que la versión para iOS sigue un método similar. Esta amenaza se identifica con las etiquetas HEUR:Trojan.IphoneOS.SparkCat.* y HEUR:Trojan.AndroidOS.SparkCat.*.
¿Quién hay detrás? Por el momento se desconoce, pero en el análisis del código de las versiones Android evidenció comentarios en chino, y en la versión para iOS se hallaron directorios llamados “qiongwu” y “quiwengjing”. Estos detalles hacen pensar que los responsables dominan el idioma chino, aunque no existen suficientes indicios para vincular la campaña a un concreto grupo cibercriminal.
Recomendaciones de seguridad
Para prevenir complicaciones, se recomienza eliminar cualquier aplicación sospechosa hasta que se publique una actualización que neutralice este troyano.
Además, es aconsejable no almacenar capturas de pantalla en la galería que contengan información confidencial, como las frases de recuperación de las billeteras.
Al mismo tiempo, se aconseja tener instalado un antivirus y un gestor de contraseñas en el dispositivo móvil.