Kaspersky descubre un nuevo troyano ladrón de criptomonedas en AppStore y Google Play

7 de febrero, 2025
El centro de especialistas Kaspersky Threat Research ha descubierto un nuevo troyano
que roba datos, denominado SparkCat, activo en AppStore y Google Play desde, al
menos, marzo de 2024. Se trata de la primera instancia conocida de malware basado en
reconocimiento óptico en AppStore. SparkCat usa aprendizaje automático para escanear
galerías de imágenes y robar capturas de pantalla con frases de recuperación de
billeteras de criptomonedas. También puede encontrar y extraer otros datos sensibles en
imágenes, como contraseñas.
Cómo se propaga el nuevo malware.
El malware se está propagando tanto a través de aplicaciones legítimas infectadas como
mediante señuelos: mensajeros, asistentes de IA, aplicaciones de entrega de alimentos,
aplicaciones relacionadas con criptomonedas, entre otras. Algunas de estas aplicaciones están
disponibles en las plataformas oficiales de Google Play y AppStore. Además, los datos de
telemetría de Kaspersky indican que versiones infectadas se están distribuyendo mediante
otras fuentes no oficiales. En Google Play, estas aplicaciones han sido descargadas más de
242,000 veces.
¿A quién se dirige?
El malware se dirige principalmente a usuarios en los Emiratos Árabes Unidos y a países de
Europa y Asia. Esto concluyeron los expertos basándose tanto en la información sobre las
áreas operativas de las aplicaciones infectadas como en el análisis técnico del malware.
SparkCat examina las galerías de imágenes en busca de palabras clave en varios idiomas,
incluidos chino, japonés, coreano, inglés, checo, francés, italiano, polaco y portugués. Sin
embargo, los expertos creen que las víctimas podrían provenir de otros países.

Por ejemplo, la aplicación de entrega de alimentos ComeCome para
iOS fue infectada, al igual que su versión para Android.

Otro ejemplo es una aplicación señuelo: un servicio de mensajería en
AppStore.

Cómo funciona SparkCat
Una vez instalado, en ciertos escenarios el nuevo malware solicita acceso para ver las fotos en
la galería del smartphone del usuario. A continuación, analiza el texto en las imágenes
almacenadas utilizando un módulo de reconocimiento óptico de caracteres (OCR). Si el
programa detecta palabras clave relevantes, envía la imagen a los atacantes. El objetivo
principal de los hackers es encontrar frases de recuperación para las billeteras de
criptomonedas. Con esta información, pueden obtener el control total sobre la billetera de la
víctima y sustraer fondos. Además de robar frases de recuperación, el malware es capaz de
extraer otra información personal de las capturas de pantalla, como mensajes y contraseñas.
“Este es el primer caso conocido de un troyano basado en OCR que se ha colado en
AppStore”, afirmó Leandro Cuozzo, analista de malware en Kaspersky. “En cuanto a
AppStore y Google Play, por el momento no está claro si las aplicaciones en estas tiendas
fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros
métodos diversos. Algunas aplicaciones, como los servicios de entrega de alimentos, parecen
legítimas, mientras que otras están claramente diseñadas como señuelos.”
“La campaña SparkCat tiene algunas características únicas que la hacen peligrosa. En primer
lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes de
infección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores de
las tiendas como para los usuarios móviles. Además, los permisos que solicita parecen
razonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intenta
alcanzar puede parecer esencial para el correcto funcionamiento de la aplicación, al menos
desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos
pertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente”,
agregó Cuozzo.

Al analizar las versiones Android del malware, los expertos de Kaspersky encontraron
comentarios en el código escritos en chino. Además, la versión para iOS contenía nombres de
directorios de inicio de desarrollador, “qiongwu” y “quiwengjing”, lo que sugiere que los
actores de la amenaza detrás de la campaña dominan el chino. Sin embargo, no existen
suficientes pruebas para atribuir la campaña a un grupo cibercriminal conocido.

Ataques impulsados por aprendizaje automático
Los ciberdelincuentes están prestando cada vez más atención a las redes neuronales en sus
herramientas maliciosas. En el caso de SparkCat, el módulo para Android descifra y ejecuta un
plugin OCR utilizando la biblioteca Google ML Kit para reconocer el texto en las imágenes
almacenadas. Se empleó un método similar en su módulo malicioso para iOS.
Las soluciones de Kaspersky protegen tanto a los usuarios de Android como a los de iOS
contra SparkCat. Se detecta como HEUR:Trojan.IphoneOS.SparkCat.* y
HEUR:Trojan.AndroidOS.SparkCat.*.
Un informe completo sobre esta campaña de malware está disponible en Securelist.
Para evitar convertirse en una víctima de este malware, Kaspersky recomienda las siguientes
medidas de seguridad:

● Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la
utilices hasta que se publique una actualización que elimine la funcionalidad maliciosa.
● Evita almacenar capturas de pantalla que contengan información sensible en tu galería,
incluidas las frases de recuperación de billeteras de criptomonedas. Por ejemplo, las
contraseñas podrían guardarse en aplicaciones especializadas como Kaspersky
Password Manager.
● Utiliza un software de ciberseguridad confiable, como Kaspersky Premium, que puede
prevenir infecciones de malware.
Investigación de Amenazas
El equipo de Investigación de Amenazas es una autoridad líder en la protección contra ciberamenazas. Al
involucrarse activamente tanto en el análisis de amenazas como en la creación de tecnología, nuestros expertos
aseguran que las soluciones de ciberseguridad de Kaspersky estén basadas en información profunda y sean
excepcionalmente potentes, proporcionando inteligencia crítica sobre amenazas y una seguridad robusta a nuestros
clientes y a la comunidad en general.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda experiencia
en inteligencia de amenazas y seguridad de Kaspersky se está continuamente transformando en innovadoras
soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores
en todo el mundo. El extenso portafolio de productos de seguridad de la empresa incluye su reputada solución de
protección para endpoints, junto con una serie de soluciones y servicios de seguridad especializados, así como
soluciones Cyber Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de
200.000 clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com

Kaspersky en redes sociales:
X: @KasperskyLatino           IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam    IN: Kaspersky Lab Latinoamérica