El equipo de investigación de amenazas de Kaspersky identificó una nueva variante de SparkCat en aplicaciones disponibles en la App Store y en Google Play.
Este hallazgo ocurre un año después del descubrimiento de la versión anterior que robaba criptomonedas de los usuarios.
El malware se oculta en aplicaciones aparentemente legítimas y analiza las fotos almacenadas en la galería en busca de frases de recuperación de billeteras digitales.
La nueva versión se distribuye a través de aplicaciones de mensajería empresarial y apps de entrega de comida infectadas.
Los especialistas identificaron dos aplicaciones comprometidas en la App Store y una en Google Play, cuyo código malicioso ya fue eliminado de las tiendas oficiales.
Los datos de telemetría indican que estas aplicaciones también se distribuyen mediante páginas web que simulan la interfaz de la tienda de Apple.
La variante para Android analiza imágenes en busca de palabras clave en japonés, coreano y chino. Esto indica que el objetivo principal son los usuarios asiáticos.
Por su parte, la versión para iOS busca códigos de recuperación en inglés, lo que amplía su alcance potencial a diferentes regiones del mundo.
“En determinados escenarios, la variante actualizada solicita acceso a la galería de fotos del dispositivo, al igual que la versión anterior”, explica Fabio Assolini.
El investigador líder en Seguridad de Kaspersky añade que el malware utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes.
“Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes”, destaca el especialista sobre esta técnica de infiltración.
Assolini señala que SparkCat representa una amenaza en evolución con técnicas para evadir los mecanismos de verificación de las tiendas oficiales.
“El uso de virtualización de código y lenguajes multiplataforma demuestra un alto nivel de sofisticación, aún poco común en malware móvil”, agrega Assolini.
Para el experto, las similitudes entre versiones indican que se trata de los mismos desarrolladores, lo que refuerza la necesidad de usar una solución de seguridad.
Para reducir los riesgos de infección, la compañía recomienda:
- Utilizar una solución de ciberseguridad confiable.
- Evitar almacenar en la galería capturas de pantalla con información sensible de billeteras digitales.
- Mantener precaución al descargar aplicaciones, incluso desde tiendas oficiales.
La firma ya notificó a Google y a Apple sobre las aplicaciones maliciosas identificadas para mitigar el impacto en los usuarios finales.
