El centro de investigación de amenazas de Kaspersky ha identificado un nuevo troyano de robo de datos llamado SparkCat, con la capacidad de sustraer criptomonedas. Este malware ha estado activo en la App Store y Google Play desde al menos marzo de 2024.
Según el informe de la compañía, esta es la primera vez que un malware basado en reconocimiento óptico de caracteres (OCR) aparece en la tienda de aplicaciones de Apple.
Tal como explicó Kaspersky, SparkCat utiliza inteligencia artificial (IA) para analizar imágenes en la galería de los usuarios y robar frases de recuperación de monederos de criptomonedas, además de otras credenciales sensibles como contraseñas.
La empresa ha informado a Google y Apple sobre los aplicativos maliciosos identificados.
Cómo se propaga el malware
SparkCat se está distribuyendo a través de aplicaciones legítimas infectadas y apps señuelo. La lista incluye mensajeros, asistentes de IA, servicios de entrega de comida y aplicaciones relacionadas con criptomonedas.
Algunas de estas aplicaciones están disponibles en Google Play y la App Store, pero también se están distribuyendo a través de fuentes no oficiales de aplicaciones.
De acuerdo con Kaspersky, solo en Google Play, las aplicaciones infectadas han sido descargadas más de 242.000 veces.
- Lee también: Donald Trump quiere su propio ETF de Bitcoin
¿Quiénes son los principales objetivos?
El malware ataca principalmente a usuarios en Emiratos Árabes Unidos, Europa y Asia. Sin embargo, los especialistas advierten que personas de otras regiones también pueden ser vulnerables.
SparkCat es capaz de analizar imágenes en varios idiomas, incluidos español, portugués, chino, japonés, coreano, inglés, checo, francés, italiano y polaco.
Una vez instalado, el malware solicita acceso a la galería de imágenes del dispositivo y utiliza un módulo de OCR para analizar el texto en capturas de pantalla y fotos almacenadas. Si detecta palabras clave relacionadas con frases de recuperación de monederos de criptomonedas, envía las imágenes a los atacantes, permitiéndoles tomar el control de los activos digitales de la víctima.
Cómo funciona el malware SparkCat
Los ciberdelincuentes están utilizando redes neuronales y aprendizaje automático para mejorar sus herramientas maliciosas.
En el caso de SparkCat:
- En Android, el malware descifra y ejecuta un plugin de OCR utilizando la biblioteca Google ML Kit para reconocer textos en imágenes almacenadas.
- En iOS, emplea un método similar para extraer datos confidenciales.
Medidas de protección
Kaspersky señala que sus soluciones de seguridad ya detectan y bloquean el malware SparkCat, identificándolo como HEUR:Trojan.IphoneOS.SparkCat y HEUR:Trojan.AndroidOS.SparkCat.
Para evitar ser víctima de este ataque, se recomienda:
- Eliminar las aplicaciones infectadas del dispositivo y esperar actualizaciones que eliminen el código malicioso.
- Evitar almacenar capturas de pantalla con información sensible, incluidas frases de recuperación de monederos de criptomonedas.
- Utilizar gestores de contraseñas para guardar credenciales de manera segura.
- Instalar software de seguridad confiable para detectar amenazas y evitar infecciones.
Un informe detallado sobre la campaña SparkCat está disponible en Securelist, el portal de análisis de amenazas de Kaspersky.
