SparkCat es un nuevo troyano descubierto por Kaspersky que utiliza reconocimiento OCR para leer capturas de pantalla tomadas por el usuario con el objetivo de robar criptomonedas. De acuerdo con un informe de la compañía, este malware afecta tanto a usuarios de iOS como de Android.
La empresa señala que el troyano ha estado activo en la App Store de Apple y en la Google Play Store desde al menos marzo de 2024. En el caso de la tienda de Apple, esta es la primera vez que se detecta un malware con reconocimiento óptico de caracteres dentro de su catálogo de aplicaciones.
Para operar, SparkCat emplea aprendizaje automático, lo que le permite escanear galerías de imágenes y robar capturas de pantalla que contengan frases de recuperación de billeteras de criptomonedas. Además, es capaz de identificar y extraer otros datos confidenciales, incluidas contraseñas.
Así funciona SparkCat
Según Kaspersky, este malware se propaga a través de aplicaciones legítimas infectadas y de otras aplicaciones señuelo, como servicios de mensajería, asistentes con inteligencia artificial, plataformas de entrega de comida y aplicaciones de criptomonedas. Muchas de estas están disponibles en las tiendas oficiales, aunque también se han identificado distribuciones a través de fuentes no oficiales.
El informe indica que el ataque está dirigido principalmente a usuarios de Emiratos Árabes Unidos, así como a algunos países de Europa y Asia. La selección de víctimas se basa en el análisis de galerías de imágenes en busca de palabras clave en múltiples idiomas, como chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. No se descarta que el alcance del malware sea aún mayor.
Una vez instalado, el malware solicita acceso a la galería del usuario y emplea reconocimiento óptico de caracteres (OCR) para analizar las imágenes. Si detecta palabras clave relevantes, envía las capturas a los atacantes, centrándose en frases de recuperación de monederos de criptomonedas para obtener control total sobre las billeteras y robar los fondos almacenados.
Más detalles sobre SparkCat
De acuerdo con Sergey Puzan, analista de malware de Kaspersky, este es el primer caso conocido de un troyano basado en OCR que logra infiltrarse en la App Store de Apple. Sin embargo, aún no está claro cómo ambas tiendas fueron comprometidas, ya que la campaña se propaga sin signos evidentes de infección. Además, los permisos que solicita la aplicación son aparentemente legítimos, lo que facilita que los usuarios los aprueben sin sospechas.
Para rastrear su origen, los analistas encontraron comentarios en el código escritos en chino, con términos como qiongwu y quiwengjing en los nombres de directorios de la versión para iOS. Aunque esto sugiere que los autores son hablantes nativos de chino, no existen pruebas suficientes para atribuir el ataque a un grupo específico.
Para mitigar el riesgo, Kaspersky recomienda desinstalar cualquier aplicación infectada y evitar reinstalarla hasta que se publiquen actualizaciones que eliminen la amenaza.
También se aconseja evitar almacenar capturas de pantalla con información confidencial, incluyendo frases de recuperación de billeteras de criptomonedas y contraseñas. Como medida adicional, se sugiere utilizar software de seguridad que ayude a prevenir infecciones de malware en los dispositivos.
Cortesía de Xataka
Dejanos un comentario: