Kaspersky Threat Research ha identificado un nuevo troyano llamado SparkCat, activo en AppStore y Google Play desde marzo de 2024. Se trata del primer malware basado en reconocimiento óptico de caracteres (OCR) detectado en la AppStore, utilizando aprendizaje automático para analizar imágenes en la galería del usuario y robar datos sensibles, especialmente frases de recuperación de billeteras de criptomonedas.
Este malware se propaga a través de aplicaciones legítimas infectadas y apps señuelo (mensajería, asistentes de IA, delivery y criptomonedas), estando presente en tiendas oficiales y fuentes externas. En Google Play, ha sido descargado más de 242,000 veces. Sus principales objetivos son usuarios en Emiratos Árabes Unidos, Europa y Asia, aunque podría afectar a más regiones, ya que analiza imágenes en múltiples idiomas (chino, japonés, coreano, inglés, francés, italiano, entre otros).
Una vez instalado, SparkCat solicita acceso a la galería del usuario y escanea las imágenes en busca de frases clave mediante un módulo de OCR. Si detecta información relevante, envía la imagen a los atacantes, permitiéndoles acceder a billeteras de criptomonedas o extraer datos sensibles como contraseñas.
El analista de malware de Kaspersky, Leandro Cuozzo, destaca que SparkCat es especialmente peligroso porque opera de manera sigilosa y se oculta en permisos aparentemente legítimos, dificultando su detección por los moderadores de las tiendas de aplicaciones. Además, se han encontrado comentarios en código escritos en chino, lo que sugiere un origen en ese idioma, aunque no hay pruebas suficientes para atribuirlo a un grupo cibercriminal específico.
El troyano utiliza redes neuronales y en Android emplea Google ML Kit para el reconocimiento de texto en imágenes. Kaspersky ya ha identificado este malware en sus sistemas de detección como HEUR:Trojan.IphoneOS.SparkCat. y HEUR:Trojan.AndroidOS.SparkCat.
Kaspersky recomienda
Con el fin de que puedas estar protegido de SparkCat, los expertos de Kaspersky recomiendan lo siguiente:
- Eliminar cualquier aplicación infectada de inmediato
- Evitar almacenar capturas de pantalla que tengan información sensible en la galería.
- Utilizar software de ciberseguridad confiable, como Kaspersky Premium.
Vía Comunicado de Prensa
