{"id":64216,"date":"2025-02-10T11:07:53","date_gmt":"2025-02-10T15:37:53","guid":{"rendered":"https:\/\/www.elmundodelosnegocios.com.do\/v1\/?p=64216"},"modified":"2025-02-10T11:07:53","modified_gmt":"2025-02-10T15:37:53","slug":"descubren-un-nuevo-troyano-ladron-de-criptomonedas-en-appstore-y-google-play","status":"publish","type":"post","link":"https:\/\/elmundodelosnegocios.com.do\/v1\/descubren-un-nuevo-troyano-ladron-de-criptomonedas-en-appstore-y-google-play\/","title":{"rendered":"Descubren un nuevo troyano ladr\u00f3n de criptomonedas en AppStore y Google Play"},"content":{"rendered":"

Se trata de la primera instancia conocida de malware basado en reconocimiento \u00f3ptico en AppStore. SparkCat usa aprendizaje autom\u00e1tico para escanear galer\u00edas de im\u00e1genes y robar capturas de pantalla con frases de recuperaci\u00f3n de billeteras de criptomonedas. Tambi\u00e9n puede encontrar y extraer otros datos sensibles en im\u00e1genes, como contrase\u00f1as.<\/p>\n

\"\"<\/a><\/p>\n

C\u00f3mo se propaga el nuevo malware.<\/strong>\u00a0<\/strong><\/p>\n

El malware se est\u00e1 propagando tanto a trav\u00e9s de aplicaciones leg\u00edtimas infectadas como mediante se\u00f1uelos: mensajeros, asistentes de IA, aplicaciones de entrega de alimentos, aplicaciones relacionadas con criptomonedas, entre otras. Algunas de estas aplicaciones est\u00e1n disponibles en las plataformas oficiales de Google Play y AppStore. Adem\u00e1s, los datos de telemetr\u00eda de Kaspersky indican que versiones infectadas se est\u00e1n distribuyendo mediante otras fuentes no oficiales. En Google Play, estas aplicaciones han sido descargadas m\u00e1s de 242,000 veces.<\/p>\n

\u00bfA qui\u00e9n se dirige?<\/strong>\u00a0<\/strong><\/p>\n

El malware se dirige principalmente a usuarios en los Emiratos \u00c1rabes Unidos y a pa\u00edses de Europa y Asia. Esto concluyeron los expertos bas\u00e1ndose tanto en la informaci\u00f3n sobre las \u00e1reas operativas de las aplicaciones infectadas como en el an\u00e1lisis t\u00e9cnico del malware. SparkCat examina las galer\u00edas de im\u00e1genes en busca de palabras clave en varios idiomas, incluidos chino, japon\u00e9s, coreano, ingl\u00e9s, checo, franc\u00e9s, italiano, polaco y portugu\u00e9s. Sin embargo, los expertos creen que las v\u00edctimas podr\u00edan provenir de otros pa\u00edses.<\/p>\n

C\u00f3mo funciona SparkCat<\/strong><\/p>\n

Una vez instalado, en ciertos escenarios el nuevo malware solicita acceso para ver las fotos en la galer\u00eda del smartphone del usuario. A continuaci\u00f3n, analiza el texto en las im\u00e1genes almacenadas utilizando un m\u00f3dulo de reconocimiento \u00f3ptico de caracteres (OCR). Si el programa detecta palabras clave relevantes, env\u00eda la imagen a los atacantes. El objetivo principal de los hackers es encontrar frases de recuperaci\u00f3n para las billeteras de criptomonedas. Con esta informaci\u00f3n, pueden obtener el control total sobre la billetera de la v\u00edctima y sustraer fondos. Adem\u00e1s de robar frases de recuperaci\u00f3n, el malware es capaz de extraer otra informaci\u00f3n personal de las capturas de pantalla, como mensajes y contrase\u00f1as.<\/p>\n

\u201cEste es el primer caso conocido de un troyano basado en OCR que se ha colado en AppStore<\/em>\u201d,\u00a0afirm\u00f3 Leandro Cuozzo, analista de malware en Kaspersky.<\/strong>\u00a0\u201cEn cuanto a AppStore y Google Play, por el momento no est\u00e1 claro si las aplicaciones en estas tiendas fueron comprometidas mediante un ataque a la cadena de suministro o a trav\u00e9s de otros m\u00e9todos diversos. Algunas aplicaciones, como los servicios de entrega de alimentos, parecen leg\u00edtimas, mientras que otras est\u00e1n claramente dise\u00f1adas como se\u00f1uelos.<\/em>\u201d<\/p>\n

\u201cLa campa\u00f1a SparkCat tiene algunas caracter\u00edsticas \u00fanicas que la hacen peligrosa. En primer lugar, se propaga a trav\u00e9s de tiendas de aplicaciones oficiales y opera sin se\u00f1ales evidentes de infecci\u00f3n. La sigilosidad de este troyano dificulta su detecci\u00f3n tanto para los moderadores de las tiendas como para los usuarios m\u00f3viles. Adem\u00e1s, los permisos que solicita parecen razonables, lo que facilita que se pasen por alto. El acceso a la galer\u00eda que el malware intenta alcanzar puede parecer esencial para el correcto funcionamiento de la aplicaci\u00f3n, al menos desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos pertinentes, como cuando los usuarios se comunican con el servicio de atenci\u00f3n al cliente<\/em>\u201d,\u00a0agreg\u00f3 Cuozzo.<\/strong><\/p>\n

Al analizar las versiones Android del malware, los expertos de Kaspersky encontraron comentarios en el c\u00f3digo escritos en chino. Adem\u00e1s, la versi\u00f3n para iOS conten\u00eda nombres de directorios de inicio de desarrollador, \u201cqiongwu<\/strong>\u201d y \u201cquiwengjing<\/strong>\u201d, lo que sugiere que los actores de la amenaza detr\u00e1s de la campa\u00f1a dominan el chino. Sin embargo, no existen suficientes pruebas para atribuir la campa\u00f1a a un grupo cibercriminal conocido.<\/p>\n

Ataques impulsados por aprendizaje autom\u00e1tico<\/strong><\/p>\n

Los ciberdelincuentes est\u00e1n prestando cada vez m\u00e1s atenci\u00f3n a las redes neuronales en sus herramientas maliciosas. En el caso de SparkCat, el m\u00f3dulo para Android descifra y ejecuta un plugin OCR utilizando la biblioteca Google ML Kit para reconocer el texto en las im\u00e1genes almacenadas. Se emple\u00f3 un m\u00e9todo similar en su m\u00f3dulo malicioso para iOS.<\/p>\n

Las soluciones de Kaspersky protegen tanto a los usuarios de Android como a los de iOS contra SparkCat. Se detecta como HEUR:Trojan.IphoneOS.SparkCat.* y HEUR:Trojan.AndroidOS.SparkCat.*.<\/p>\n

Un informe completo sobre esta campa\u00f1a de malware est\u00e1 disponible en Securelist.<\/strong><\/p>\n

Para evitar convertirse en una v\u00edctima de este malware, Kaspersky recomienda las siguientes medidas de seguridad:<\/p>\n