Cubadebate

El centro de especialistas Kaspersky Threat Research ha descubierto un nuevo y sofisticado troyano, bautizado como SparkCat, que ha estado operando en las plataformas de App Store y Google Play desde al menos marzo de 2024. Lo que hace a este malware especialmente preocupante es que se trata de la primera instancia conocida de un troyano basado en reconocimiento óptico de caracteres (OCR) que ha logrado infiltrarse en la App Store de Apple.

SparkCat utiliza técnicas de aprendizaje automático para escanear las galerías de imágenes de los dispositivos móviles en busca de capturas de pantalla que contengan frases de recuperación de billeteras de criptomonedas. Pero su alcance no se limita a eso: también es capaz de extraer otros datos sensibles, como contraseñas y mensajes, directamente desde las imágenes almacenadas en los teléfonos de sus víctimas.

La propagación de este malware es tan ingeniosa como peligrosa. SparkCat se está distribuyendo a través de aplicaciones aparentemente legítimas, algunas de las cuales están disponibles en las tiendas oficiales de Google Play y AppStore.

Entre estas aplicaciones se encuentran mensajeros, asistentes de inteligencia artificial, servicios de entrega de alimentos y herramientas relacionadas con criptomonedas. Según los datos de telemetría de Kaspersky, estas aplicaciones infectadas han sido descargadas más de 242 000 veces en Google Play. Además, versiones del malware también están circulando a través de fuentes no oficiales, lo que amplía su alcance.

El objetivo principal de SparkCat son los usuarios en los Emiratos Árabes Unidos, Europa y Asia, aunque los expertos no descartan que pueda afectar a personas en otras regiones. El malware está diseñado para buscar palabras clave en varios idiomas, incluyendo chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués.

Una vez instalado, SparkCat solicita acceso a la galería de fotos del dispositivo y, utilizando un módulo OCR, analiza las imágenes en busca de información valiosa. Si detecta algo relevante, como una frase de recuperación de una billetera de criptomonedas, envía la imagen directamente a los atacantes, quienes pueden tomar el control total de la billetera y robar los fondos.

Leandro Cuozzo, analista de malware en Kaspersky, destacó la singularidad de esta campaña: "Este es el primer caso conocido de un troyano basado en OCR que se ha colado en AppStore. La sigilosidad de SparkCat es lo que lo hace especialmente peligroso. Opera sin señales evidentes de infección y los permisos que solicita parecen razonables, lo que facilita que pase desapercibido tanto para los moderadores de las tiendas como para los usuarios".

Además, los investigadores encontraron pistas en el código que sugieren que los creadores de SparkCat podrían tener dominio del idioma chino. En las versiones de Android, se encontraron comentarios en chino, mientras que en la versión para iOS se identificaron nombres de directorios como "qiongwu" y "quiwengjing". Sin embargo, no hay pruebas suficientes para vincular esta campaña con un grupo cibercriminal específico.

Lo que hace a SparkCat aún más preocupante es su uso de tecnologías avanzadas, como redes neuronales y la biblioteca Google ML Kit, para mejorar su capacidad de reconocimiento de texto en imágenes. Este enfoque impulsado por el aprendizaje automático permite que el malware sea más eficiente y difícil de detectar.

Para protegerse contra SparkCat, Kaspersky recomienda a los usuarios eliminar cualquier aplicación sospechosa de sus dispositivos y evitar almacenar capturas de pantalla con información sensible en sus galerías. Además, se sugiere el uso de software de ciberseguridad confiable que puede prevenir infecciones de malware.

(Con información de Kaspersky)