Advertencia de seguridad de Cripto: SparkCat Malware escanea tus fotos en busca de claves de Billetera - Noticias rápidas de Cripto

• Usando Google ML Kit para la extracción de texto, SparkCat transmite datos robados a través de canales de comunicación cifrados, lo que hace que la detección sea difícil.
• Los métodos de ataque únicos de SparkCat incluyen un framework Objective-C en iOS y un SDK basado en Java en Android.

Según un informe del 4 de febrero de la empresa de ciberseguridad Kaspersky, ha aparecido un nuevo malware, SparkCat, que representa un desafío tanto para los usuarios de criptomonedas de Android como de iOS. El malware apareció incrustado en otras aplicaciones que parecen ser inofensivas. Además, obtiene los detalles importantes de un usuario de su dispositivo móvil mediante un enfoque sofisticado.

SparkCat utiliza el reconocimiento óptico de caracteres para robos de ###

SparkCat escanea las imágenes guardadas en la galería de un dispositivo en busca de frases de recuperación de billeteras de criptomonedas. Realiza su escaneo a través del Reconocimiento Óptico de Caracteres, una tecnología que captura texto de imágenes. Los usuarios que guardaron algunas capturas de pantalla y notas relacionadas con las billeteras son posibles víctimas de una vulneración de datos.

Este malware comenzó a operar en marzo de 2024 e infectó aplicaciones, incluidas aplicaciones de mensajería de inteligencia artificial y servicios de pedidos de comida, en Google Play Store y la App Store dirigida por Apple. Curiosamente, es la primera vez que este tipo de malware basado en OCR roba criptomonedas utilizando dispositivos Apple.

En Android, se propaga a través de un SDK llamado Spark, que está basado en Java, haciéndose pasar por un módulo de análisis e inyectándose en las aplicaciones. Cuando el usuario ejecuta la aplicación infectada, el malware recuperará un archivo de configuración cifrado desde un repositorio remoto de GitLab.

Una vez activado, SparkCat utiliza la funcionalidad de OCR de Google ML Kit para escanear imágenes dentro de la galería del dispositivo. Busca palabras clave relacionadas con frases de recuperación de billeteras de criptomonedas en varios idiomas, incluyendo inglés, chino, japonés, coreano y varios idiomas europeos, según informa KasperSky.

El malware envía imágenes a un servidor controlado por el atacante para exfiltrar datos robados. Los métodos de transferencia incluyen el uso de almacenamiento en la nube de Amazon, junto con un protocolo basado en Rust. Esto lo hace realmente difícil de rastrear porque implica canales de comunicación cifrados y técnicas de transmisión de datos que son inusuales.

Compromiso de iOS a través de un marco malicioso

La variante iOS de SparkCat funciona de manera diferente ya que se incrusta dentro de aplicaciones comprometidas como un marco bajo varios nombres como GZIP, googleappsdk o stat. Este marco malicioso, escrito en Objective-C, está ofuscado usando HikariLLVM e integra Google ML Kit para el análisis de imágenes de la galería del dispositivo.

A diferencia de la versión de Android, en iOS, el malware solicita acceso a la galería de fotos solo cuando se realizan acciones específicas por parte de los usuarios, como abrir un chat de soporte dentro de una aplicación infectada. Esto minimiza la sospecha al tiempo que permite que el malware recupere información relacionada con la cartera.

El informe de Kaspersky afirma que, además de las frases de recuperación, el malware es capaz de robar otros datos sensibles. Esto incluye contraseñas almacenadas y el contenido de mensajes capturados en capturas de pantalla. Los expertos en seguridad estiman que SparkCat ya ha comprometido más de 242.000 dispositivos, principalmente en Europa y Asia.

Sin embargo, el origen del malware es desconocido. Según los comentarios del código y los mensajes de error, se puede determinar que los desarrolladores hablan chino. Los ataques de malware a los usuarios de criptomonedas continúan escalando con los ciberdelincuentes encontrando repetidamente formas de eludir las medidas de seguridad impuestas por las tiendas de aplicaciones.

En septiembre de 2024, Binance detectó el malware Clipper, que reemplazaba las direcciones de billetera copiadas por otras controladas por el atacante, lo que llevaba a las víctimas a enviar fondos a destinos fraudulentos sin saberlo. Como discutimos, el año pasado en 2024, los inversores perdieron más de $3 mil millones en estafas y hacks de criptomonedas.