Una nueva campaña de malware denominada Sparkcat ha aprovechado un traje de aplicaciones falsas en las respectivas tiendas de aplicaciones de Apple y Google para robar frases mnemónicas de las víctimas asociadas con billeteras de criptomonedas.
Los ataques aprovechan un modelo de reconocimiento de caracteres ópticos (OCR) para exfiltrar imágenes selectas que contienen frases de recuperación de billetera de bibliotecas de fotos a un servidor de comando y control (C2), dijeron los investigadores de Kaspersky Dmitry Kalinin y Sergey Puzan en un informe técnico.
El apodo es una referencia a un Kit de desarrollo de software integrado (SDK) que emplea un componente Java llamado Spark que se disfraza de módulo de análisis. Actualmente no se sabe si la infección fue el resultado de un ataque de la cadena de suministro o si los desarrolladores lo introdujeron intencionalmente.
Si bien esta no es la primera vez que el malware de Android con capacidades de OCR se detecta en la naturaleza, es una de las primeras instancias en las que se ha encontrado dicho robador en la App Store de Apple. Se dice que las aplicaciones infectadas en Google Play se descargaron más de 242,000 veces.
Se evalúa que la campaña ha estado activa desde marzo de 2024, con las aplicaciones distribuidas a través de tiendas de aplicaciones oficiales y no oficiales. Las aplicaciones se disfrazan de la inteligencia artificial (IA), la entrega de alimentos y las aplicaciones Web3, aunque algunas de ellas parecen ofrecer una funcionalidad legítima.
«El módulo de malware de Android descifraría y iniciaría un complemento OCR construido con la biblioteca de kits ML de Google, y lo usaría para reconocer el texto que encontró en las imágenes dentro de la galería», dijo Kaspersky. «Las imágenes que coinciden con las palabras clave recibidas del C2 se enviaron al servidor».
En una línea similar, la versión iOS de SparkCat se basa en la biblioteca del kit ML de Google para OCR para robar imágenes que contienen frases mnemónicas. Un aspecto notable del malware es su uso de un mecanismo de comunicación basado en el óxido para C2, algo rara vez observado en las aplicaciones móviles.
Un análisis adicional de las palabras clave utilizadas y las regiones donde estas aplicaciones estaban disponibles indican que la campaña está dirigida principalmente a los usuarios en Europa y Asia. Se evalúa que la actividad maliciosa es el trabajo de un actor de amenaza que habla chino con fluidez.
«Lo que hace que este troyano sea particularmente peligroso es que no hay indicios de un implante malicioso oculto dentro de la aplicación», dijeron los investigadores. «Los permisos que solicita pueden parecer que son necesarios para su funcionalidad central o parecen inofensivos a primera vista».
La divulgación se produce cuando Zimperium Zlabs detalló otra campaña de malware móvil dirigida a los propietarios de dispositivos de Android indios al distribuir archivos APK maliciosos a través de WhatsApp bajo la apariencia de aplicaciones bancarias y gubernamentales, lo que permite que las aplicaciones cosechen información confidencial e información financiera.
La compañía de seguridad cibernética dijo que ha identificado más de 1,000 aplicaciones falsas vinculadas a la campaña, con los atacantes aprovechando aproximadamente 1,000 números de teléfono codificados por duros como puntos de exfiltración para mensajes SMS y contraseñas únicas (OTP).
«A diferencia de los troyanos bancarios convencionales que dependen únicamente de los servidores de comando y control (C&C) para robo de contraseña única (OTP), esta campaña de malware aprovecha los números de teléfono en vivo para redirigir los mensajes de SMS, dejando un rastro digital rastreable para las agencias de aplicación de la ley Rastree a los actores de amenaza detrás de esta campaña «, dijo el investigador de seguridad Aazim Yaswant.
Se dice que la campaña de ataque, llamada FatboyPanel, ha acumulado 2.5 GB de datos confidenciales hasta la fecha, todo lo cual está alojado en puntos finales de Firebase que son accesibles para cualquier persona sin autenticación.
Esto incluye mensajes de SMS de bancos indios, datos bancarios, información de la tarjeta de crédito y débito, y detalles de identificación emitidos por el gobierno que pertenecen a unos 50,000 usuarios, la mayoría de los cuales se encuentran en los estados indios de Bengala Occidental, Bihar, Jharkhand, Karnataka y Madhya Pradesh.
Estos incidentes cuentan una historia de advertencia sobre la importancia de examinar adecuadamente las aplicaciones de código, incluida la escrutinización de las revisiones y verificar la autenticidad de los desarrolladores, antes de descargarlas, incluso si están cargadas en la tienda de aplicaciones oficiales.
El desarrollo también sigue la aparición de 24 nuevas familias de malware dirigidas a los sistemas Apple MacOS en 2024, en comparación con el 21 en 2023, según el investigador de seguridad Patrick Wardle.
Esto coincide con un aumento en los ataques de robador de información, como aquellos que involucran a Poseidón, Atomic y Cthulhu, que están específicamente dirigidos a los usuarios del sistema operativo de escritorio.
«InfoTrealers que aprovechan a los macos a menudo explotan el marco nativo de AppleScript», dijeron esta semana la Unidad de Palo Alto Networks.
«Este marco proporciona un amplio acceso al sistema operativo, y también simplifica la ejecución con su sintaxis del lenguaje natural. Dado que estas indicaciones pueden parecerse a las indicaciones legítimas del sistema, los actores de amenaza usan este marco para engañar a las víctimas a través de la ingeniería social».