Foto: Antlii/Shutterstock
La empresa de ciberseguridad Kaspersky Labs ofrece productos para aumentar la seguridad en línea de empresas y consumidores. También registra delitos dentro del mundo de las criptomonedas, como el aumento del número de ataques de phishing. Sin embargo, la empresa de origen ruso tampoco escapa a la ciberdelincuencia. Se ha encontrado criptomalware en algunos de los kits de desarrollo de software (SDK) de Kaspersky.
El software malicioso busca frases de recuperación
Desarrolladores de todo el mundo están utilizando Kaspersky Software Development Kits para crear aplicaciones para Google Play Store y Apple Store. Actualmente, este grupo debe proceder con cautela. Se ha encontrado malware en algunas aplicaciones de Apple y Google para teléfonos móviles. Así lo afirman dos analistas de Kaspersky en un informe. El software malicioso se llama ‘SparkCat’ y los hackers lo utilizan para saquear monederos de criptomonedas. Kaspersky advierte en ‘X’ de los peligros de este malware:
*Cuidado con las sombras en tu tienda de aplicaciones.*
SparkCat hunde sus garras. El primer ladrón de criptomonedas para iOS acecha en las tiendas oficiales, secuestrando el ML Kit de Google para escanear tu galería en busca de frases de monedero. Más de 242.000 descargas.
Incluso una aplicación alimentaria «de confianza» escondía su veneno…. ¿Sus imágenes? Robadas. Tu… pic.twitter.com/BXR8XVz3t3
– Kaspersky (@kaspersky) 6 de febrero de 2025
No todo el mundo se anda con cuidado después de crear una crypto wallet. Algunos hacen una captura de pantalla de su frase de recuperación, no sea que se les olvide. Ahí radica el peligro de ‘SparkCat’. Sergey Puzan y Dmitry Kalinin trabajan como analistas en Kaspersky. En un informe, describen el modus operandi del malware:
«Los intrusos roban frases de recuperación para crypto wallets, lo que les da control total sobre la cartera de la víctima, permitiéndoles robar fondos».
‘SparkCat’ utiliza el reconocimiento óptico de caracteres. Esto significa que lee números, letras y signos de puntuación de una imagen. En este caso, el malware busca capturas de pantalla con frases de recuperación. Para ello, utiliza palabras clave en diferentes idiomas. Si la búsqueda tiene éxito, el malware rellena la frase de recuperación para acceder a la crypto wallet. A continuación, los hackers roban el contenido en cuestión de segundos. En 2024, los hackers de criptomonedas consiguieron hacerse con más de 1.200 millones de dólares. Un hecho preocupante para el mercado de las criptomonedas y los inversores.
Además de robar frases de recuperación, ‘SparkCat’ hace mucho más daño, escriben Kalinin y Puzan:
«La flexibilidad del malware le permite robar no solo frases secretas, sino también otros datos personales de la galería, como el contenido de los mensajes o las contraseñas dejadas en las capturas de pantalla.»
Muchos usuarios de Android e iOS ya son víctimas
Usuarios de Android e iOS de todo el mundo ya han sido víctimas de ‘SparkCat’. La mayoría de las víctimas proceden de Europa y Asia. En un análisis de la página de aplicaciones de Google, una víctima revela que el software malicioso «escanea tus imágenes y roba información personal». Kaspersky calcula que el malware ya se ha descargado 242.000 veces desde marzo de 2024. Por desgracia, los holandeses tampoco se libran de diversas formas de estafas criptográficas.
El software malicioso es un gran problema para Google y Apple. Ahora se encuentra en docenas de aplicaciones reales y falsas en Google Play Store y Apple Store. Las aplicaciones infectadas comparten algunas características comunes. Entre ellas, el lenguaje de programación Rust, que rara vez se utiliza en aplicaciones móviles. Además, las apps infectadas suelen utilizar capacidades multiplataforma y técnicas complejas que dificultan la detección del crypto malware.
Según los analistas de Kaspersky, es muy arriesgado almacenar información sensible en el teléfono. En lugar de capturas de pantalla, es más prudente guardar la frase de recuperación a través de un gestor de contraseñas. Además, el trío aconseja desinstalar inmediatamente el software sospechoso y las aplicaciones infectadas.
¿De dónde procede el malware?
No está claro cómo llegó el malware a las aplicaciones. Es posible que los desarrolladores incrustaran deliberadamente un troyano, lo que significa que el malware se oculta dentro de software legítimo. Los usuarios descargan el software malicioso sin saberlo. Sin embargo, no hay pruebas de ello. Otra opción es un ataque a la cadena de suministro, en el que los ciberdelincuentes instalan deliberadamente código malicioso en actualizaciones, software legítimo y/o hardware. Kalinin y Puzan aún no lo tienen claro, pero escriben lo siguiente:
«Algunas aplicaciones, como los servicios de entrega, parecen legítimas. Otras están claramente diseñadas para atraer a las víctimas. Por ejemplo, hemos visto varias «apps de mensajería» similares con funciones de inteligencia artificial del mismo desarrollador.»
La procedencia del software malicioso también es un gran misterio. Sin embargo, es posible que Kalinin y Puzan tengan algo entre manos. Las descripciones de errores y los comentarios en el código están escritos en chino: «Como resultado, tenemos razones para creer que el desarrollador del módulo malicioso habla chino con fluidez». Kaspersky descubre regularmente formas de estafas criptográficas, como estafadores que intentan robar irónicamente el dinero de los ladrones de criptomonedas.
