SparkCat: Malware multiplataforma que se propaga a través de las tiendas de aplicaciones

Las investigadoras de ciberseguridad de Kaspersky han descubierto una nueva campaña de malware llamada “SparkCat”, que apunta tanto a usuarios de Android como de iOS a través de las tiendas oficiales de aplicaciones, incluyendo Google Play y la Apple App Store.

Kaspersky dice que este marca la primera instancia de un ladrón encontrado dentro del ecosistema de Apple, lo que genera preocupaciones sobre las vulnerabilidades de seguridad en las aplicaciones móviles.

El malware, incrustado dentro de un kit de desarrollo de software malicioso (SDK), fue descubierto en aplicaciones de Android e iOS que habían acumulado más de 242,000 descargas.

SparkCat funciona principalmente como un ladrón de reconocimiento óptico de caracteres (OCR), escaneando imágenes en las galerías de los dispositivos de los usuarios para extraer frases de recuperación de carteras criptográficas. Esta técnica permite a los atacantes evadir las medidas de seguridad tradicionales y obtener acceso no autorizado a los activos digitales de las víctimas.

La investigación de ESET rastreó la actividad de SparkCat hasta marzo de 2024. El malware opera utilizando un complemento OCR construido con la biblioteca ML Kit de Google para identificar y extraer texto sensible de las imágenes.

Los datos robados son luego enviados a un servidor de comando y control (C2) utilizando un protocolo de comunicación implementado en Rust, un lenguaje de programación raramente utilizado en aplicaciones móviles, lo que obstruye aún más sus operaciones.

Una de las aplicaciones infectadas, un servicio de entrega de comida llamado “ComeCome”, se encontró en Google Play con más de 10,000 descargas. En su versión 2.0.0, la aplicación incluyó secretamente un software dañino llamado “Spark.”

Una vez instalado, Spark se conectó a un repositorio de GitLab para descargar instrucciones ocultas, las cuales decodificó y descifró. Si eso fallaba, utilizaba configuraciones de respaldo ya incorporadas en el malware.

Para robar datos, el malware utilizó una encriptación fuerte antes de enviarlos a un servidor controlado por hackers. Utilizó métodos de encriptación en capas, incluyendo AES-256, claves RSA y compresión, lo que dificultó a los expertos en seguridad rastrear o descifrar la información robada.

Las aplicaciones infectadas instaban a los usuarios a conceder acceso a sus galerías de fotos bajo el pretexto de interacciones de soporte al cliente. Si se concedía el permiso, el malware buscaba activamente palabras clave relacionadas con criptografía en varios idiomas, incluyendo inglés, chino y francés, para identificar frases de recuperación valiosas.

Las expertas en seguridad advierten a los usuarios que tengan precaución al descargar aplicaciones, incluso de fuentes oficiales, y que auditen regularmente los permisos de las aplicaciones para mitigar posibles amenazas.

El descubrimiento de SparkCat subraya los riesgos persistentes que representan las sofisticadas campañas de malware dentro de los mercados digitales de confianza.