Un malware oculto en aplicaciones de la App Store (iOS) y Google Play (Android) logró burlar los controles de ambas tiendas con un objetivo concreto: robar criptomonedas.
Se llama SparkCat y escanea las fotos del celular en busca de frases semilla de billeteras digitales para vaciar los fondos de los usuarios.
La amenaza fue detectada por Kaspersky, que en los últimos días reveló detalles de una nueva versión del troyano descubierto hace un año.
En concreto, encontraron dos apps comprometidas en la App Store y una en Google Play, entre ellas aplicaciones de mensajería empresarial y de delivery. Para tranquilidad de los usuarios, desde la compañía indican que el código malicioso ya fue eliminado.
El ataque funciona así: una vez instalada la app infectada, el programa pide acceso a la galería de fotos y activa un sistema de reconocimiento de texto en imágenes (OCR) que revisa cada foto. Si detecta palabras vinculadas a billeteras cripto, envía el contenido a los atacantes.
"La variante actualizada solicita acceso a la galería de fotos del dispositivo y utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes. Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes", explicó Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.
El alcance varía según la plataforma. En Android, el virus rastrea capturas con palabras clave en japonés, coreano y chino, apuntando a usuarios asiáticos. En iOS, busca códigos en inglés, lo que amplía el riesgo a otras regiones.
Kaspersky también detectó que las apps infectadas circulan por fuera de las tiendas oficiales, a través de páginas web que (al ingresar desde un iPhone) imitan la interfaz de la App Store para engañar a los usuarios.
Otro dato alarmante es el nivel de sofisticación: el malware usa virtualización de código y lenguajes multiplataforma, recursos poco comunes en virus para celulares.
"El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales. Las similitudes entre las versiones indican que probablemente se trata de los mismos desarrolladores detrás de la amenaza", añadió Assolini.
Para proteger las billeteras cripto, Kaspersky recomienda: