Nuevo troyano que roba criptomonedas en AppStore y Google Play

El centro de análisis Kaspersky Threat Research ha identificado un troyano denominado SparkCat, activo en AppStore y Google Play desde marzo de 2024. Es la primera vez que se detecta un malware basado en reconocimiento óptico en AppStore. SparkCat emplea aprendizaje automático para analizar imágenes en galerías y extraer frases de recuperación de billeteras de criptomonedas, además de otras credenciales sensibles.

Cómo se propaga SparkCat

Este malware se difunde a través de aplicaciones legítimas infectadas y mediante apps señuelo, como mensajeros, asistentes de IA y servicios de entrega de alimentos. Algunas versiones han sido descargadas más de 242,000 veces en Google Play, mientras que otras se distribuyen en fuentes no oficiales, según la telemetría de Kaspersky.

Objetivos del ataque

Los principales afectados son usuarios de Emiratos Árabes Unidos, Europa y Asia. Los expertos identificaron áreas operativas de las apps comprometidas y analizaron el malware, que busca palabras clave en distintos idiomas, como chino, japonés, inglés, francés e italiano. Sin embargo, el número real de víctimas podría ser mayor.

Funcionamiento de SparkCat

Una vez instalado, el malware solicita acceso a la galería del dispositivo. Luego, mediante reconocimiento óptico de caracteres (OCR), analiza imágenes en busca de información relevante. Si detecta frases de recuperación, envía los datos a los atacantes, quienes pueden tomar el control de las billeteras digitales y sustraer fondos.

Características que lo hacen peligroso

Según Leandro Cuozzo, analista de malware en Kaspersky, este troyano opera de manera sigilosa en plataformas oficiales, dificultando su detección. Además, los permisos que solicita parecen legítimos, lo que minimiza las sospechas entre los usuarios.

Posibles autores detrás del ataque

Los análisis del código en la versión para Android revelaron comentarios en chino, mientras que la versión de iOS contenía nombres de directorios en ese idioma. Sin embargo, aún no hay pruebas suficientes para atribuir la campaña a un grupo cibercriminal específico.

Protección contra SparkCat

Kaspersky recomienda eliminar cualquier aplicación sospechosa y evitar almacenar capturas de pantalla con información confidencial. También sugiere utilizar administradores de contraseñas seguros para proteger datos sensibles. Un informe completo sobre esta amenaza está disponible en Securelist.