Kaspersky: malware para robar criptos fue encontrado en kits de creación de aplicaciones para Android e iOS

Kits de desarrollo de software maliciosos utilizados para crear aplicaciones en Google Play Store y Apple App Store están escaneando las imágenes de los usuarios para encontrar frases de recuperación de billeteras de criptomonedas y drenar los fondos, según la firma de ciberseguridad Kaspersky Labs.

Los analistas de Kaspersky, Sergey Puzan y Dmitry Kalinin, dijeron en un informe del 4 de febrero que una vez que el malware llamado SparkCat infecta un dispositivo, busca imágenes utilizando palabras clave específicas en diferentes idiomas a través de un ladrón de reconocimiento óptico de caracteres (OCR).

“Los intrusos roban frases de recuperación de recuperación de criptomonedas, lo que es suficiente para obtener el control total sobre la billetera de la víctima y proceder con el robo de fondos”, escribieron Puzan y Kalinin. 

“Cabe destacar que la flexibilidad del malware le permite robar no solo frases secretas, sino también otros datos personales de la galería, como el contenido de mensajes o contraseñas que podrían quedar en capturas de pantalla”.

Los analistas de Kaspersky recomendaron no almacenar información sensible en capturas de pantalla o en la galería de imágenes del teléfono y, en su lugar, utilizar un gestor de contraseñas. También aconsejaron eliminar cualquier aplicación sospechosa o infectada.

Puzan y Kalinin explicaron que, en las aplicaciones de Android, el malware utiliza un componente de Java llamado Spark, disfrazado como un módulo de análisis, y un archivo de configuración cifrado almacenado en GitLab, que proporciona comandos y actualizaciones operativas.

Un módulo de red basado en confianza utiliza Google ML Kit OCR para extraer texto de imágenes en un dispositivo infectado, buscando frases de recuperación que pueden ser utilizadas para abrir billeteras de criptomonedas en los dispositivos de los atacantes sin necesidad de conocer la contraseña.

Kaspersky estima que el malware ha sido descargado aproximadamente 242.000 veces desde que se volvió activo en marzo, apuntando principalmente a usuarios de Android y iOS en Europa y Asia. 

Kaspersky afirma que el malware está presente en docenas de aplicaciones, tanto legítimas como falsas, en las tiendas de aplicaciones de Google y Apple, pero comparte las mismas características en todas ellas, como el uso del lenguaje Rust, que “rara vez se encuentra en aplicaciones móviles”, su capacidad multiplataforma y la ofuscación, que dificulta su análisis y detección. 

Puzan y Kalinin dijeron que no está claro si las aplicaciones afectadas “fueron infectadas como resultado de un ataque a la cadena de suministro o si los desarrolladores incrustaron intencionalmente el troyano en ellas”.

“Algunas aplicaciones, como los servicios de entrega de comida, parecen legítimas, mientras que otras están claramente diseñadas para atraer a las víctimas. Por ejemplo, hemos visto varias ‘aplicaciones de mensajería’ similares con funciones de IA del mismo desarrollador”, añadieron. 

Puzan y Kalinin afirmaron que el origen del malware es desconocido y no puede atribuirse a ningún grupo conocido, pero es similar a una campaña detectada en marzo de 2023 por investigadores de ESET. 

Sin embargo, ambos encontraron comentarios y descripciones de errores escritos en chino dentro del código, lo que les da “razón para creer que el desarrollador del módulo malicioso domina el chino”. 

Google y Apple no respondieron de inmediato a las solicitudes de comentarios.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.