- Utilizando Google ML Kit para la extracción de texto, SparkCat transmite los datos robados a través de canales de comunicación cifrados, lo que dificulta su detección.
- Los métodos de ataque exclusivos de SparkCat incluyen un marco Objective-C en iOS y un SDK basado en Java en Android.
Un informe de la empresa de ciberseguridad Kaspersky, publicado el 4 de febrero, reveló la existencia de SparkCat, un nuevo malware que afecta a usuarios de criptomonedas en dispositivos Android e iOS. Este programa malicioso se encuentra oculto en aplicaciones aparentemente seguras y extrae información confidencial de los dispositivos móviles mediante métodos avanzados.
Método de extracción de datos mediante tecnología OCR
SparkCat realiza búsquedas en las galerías de imágenes de los dispositivos para identificar frases de recuperación de monederos criptográficos. El malware utiliza el Reconocimiento Óptico de Caracteres para extraer texto de las imágenes. Los usuarios que almacenaron capturas de pantalla o notas con información de sus billeteras corren riesgo de comprometer sus datos.
La operación del malware inició en marzo de 2024, infiltrándose en aplicaciones de mensajería con inteligencia artificial y servicios de entrega de comida disponibles en Google Play Store y App Store. Esta marca la primera ocasión en que un malware basado en OCR sustrae criptomonedas de dispositivos Apple.
En Android, la distribución ocurre mediante un SDK denominado Spark, programado en Java, que se presenta como un módulo de análisis e infecta las aplicaciones. Al iniciar la aplicación comprometida, el malware obtiene un archivo de configuración cifrado desde un repositorio GitLab remoto.
Una vez activado, el programa emplea la función OCR de Google ML Kit para analizar las imágenes almacenadas. Busca términos específicos relacionados con frases de recuperación de billeteras en diversos idiomas, incluyendo inglés, chino, japonés, coreano y varios idiomas europeos, según informó Kaspersky.
El malware transmite las imágenes a un servidor controlado por el atacante para filtrar la información sustraída. Las transferencias se realizan mediante el almacenamiento en la nube de Amazon y un protocolo basado en Rust, dificultando su rastreo por el uso de canales cifrados y métodos de transmisión poco convencionales.
Infiltración en dispositivos iOS
La versión para iOS opera de manera distinta, integrándose en las aplicaciones afectadas como un marco de trabajo bajo nombres como GZIP, googleappsdk o stat. Este marco, desarrollado en Objective-C, utiliza ofuscación mediante HikariLLVM e incorpora Google ML Kit para examinar las imágenes del dispositivo.
En iOS, el malware requiere autorización para acceder a la galería de fotos cuando los usuarios ejecutan acciones específicas, como acceder al chat de soporte en una aplicación infectada. Esta estrategia reduce las sospechas mientras permite al programa obtener datos de las billeteras.
Kaspersky indica que el malware puede sustraer información adicional, como contraseñas almacenadas y contenido de mensajes capturados en pantallazos. Los especialistas calculan que SparkCat ha comprometido 242,000 dispositivos, principalmente en Europa y Asia.
El origen del malware permanece desconocido. Los comentarios en el código y mensajes de error sugieren que los desarrolladores son de habla china. Los ataques mediante malware contra usuarios de criptomonedas continúan aumentando, mientras los ciberdelincuentes desarrollan nuevos métodos para evadir las protecciones de las tiendas de aplicaciones.
En septiembre de 2024, Binance identificó el malware Clipper, que reemplaza las direcciones de billeteras copiadas por otras bajo control del atacante, provocando que las víctimas envíen fondos a destinos fraudulentos. Como ya comentamos, durante 2024, los inversores perdieron más de 3,000 millones de dólares en estafas y ataques relacionados con criptomonedas.
