El equipo de investigación de amenazas de Kaspersky identificó una nueva variante de SparkCat en aplicaciones disponibles en la App Store y en Google Play, un año después del descubrimiento de la versión anterior que robaba criptomonedas de los usuarios. El malware se oculta en aplicaciones aparentemente legítimas y analiza las fotos almacenadas en la galería en busca de frases de recuperación de billeteras digitales. Ante este panorama, los expertos refuerzan la importancia de adoptar medidas de protección para evitar la exposición de datos sensibles.
La nueva versión de SparkCat se está distribuyendo a través de aplicaciones legítimas infectadas, incluyendo apps de mensajería desarrolladas para comunicación empresarial y una aplicación de entrega de comida. Los especialistas de Kaspersky identificaron dos aplicaciones comprometidas en la App Store y una en Google Play, cuyo código malicioso ya fue eliminado. Los datos de telemetría de Kaspersky también indican que estas aplicaciones infectadas se distribuyen por otras vías, incluyendo páginas web que, al ser accedidas desde un iPhone, simulan la interfaz de la App Store.
La variante actualizada del malware para Android analiza las galerías de imágenes de los dispositivos comprometidos en busca de capturas de pantalla que contengan palabras clave específicas en japonés, coreano y chino, lo que indica que la campaña tiene como principal objetivo a usuarios asiáticos y sus activos en criptomonedas. Por su parte, la versión para iOS adopta un enfoque distinto, buscando códigos de recuperación de billeteras de criptomonedas en inglés, lo que amplía potencialmente su alcance a usuarios de diferentes regiones.
En la práctica, la versión actualizada de SparkCat para Android incorpora varias capas adicionales para dificultar la identificación del código, incluyendo técnicas como virtualización y el uso de lenguajes de programación multiplataforma, aún poco comunes en malware dirigido a dispositivos móviles.
Kaspersky notificó a Google y a Apple sobre las aplicaciones maliciosas identificadas.
“En determinados escenarios, la variante actualizada solicita acceso a la galería de fotos del dispositivo, al igual que la versión anterior, y utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes. Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes”, Fabio Assolini, investigador líder en Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
“El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales. El uso de virtualización de código y lenguajes multiplataforma demuestra un alto nivel de sofisticación, aún poco común en malware móvil. Las similitudes entre las versiones también indican que probablemente se trata de los mismos desarrolladores detrás de la amenaza, lo que refuerza la importancia de utilizar soluciones de seguridad para proteger los dispositivos móviles”, añade el especialista.
Las soluciones de Kaspersky detectan esta amenaza con los veredictos: HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*
Para reducir los riesgos de infección, Kaspersky recomienda:
- Utilizar una solución de ciberseguridad confiable, como Kaspersky for Mobile. En Android, la herramienta impide la instalación del malware, mientras que en iOS bloquea intentos de conexión con servidores maliciosos y alerta al usuario.
- Evitar almacenar en la galería capturas de pantalla con información sensible, como frases clave de billeteras de criptomonedas. Estos datos deben mantenerse en aplicaciones especializadas, como Kaspersky Password Manager.
- Mantener precaución al descargar aplicaciones, incluso desde tiendas oficiales, ya que no están completamente libres de riesgos.
