Los expertos descubrieron que el spyware se hace pasar por una aplicación de pedidos para robar la frase de recuperación de la billetera encriptada

El experto en ciberseguridad de Kaspersky descubrió un spyware oculto en la App Store de Apple. Una aplicación de pedidos llamada ComeCome en iOS contiene software malicioso. Esta aplicación de pedidos también está disponible para descargar desde Google Play y su objetivo es robar la frase semilla de la billetera de Criptomoneda de los usuarios.

Los expertos en análisis de Kaspersky, Dmitry Kalinin y Sergey Puzan, indican que la aplicación también transfiere las claves de criptomoneda de las víctimas a grupos de estafadores. Según los investigadores de Kaspersky, esta aplicación de pedidos de comida se ha incrustado con un marco SDK malicioso que puede desbloquear el complemento de OCR ( en cualquier momento no especificado. Cuando el código OCR comienza a funcionar, la aplicación busca capturas de pantalla en el dispositivo móvil y escanea la frase semilla de la billetera de criptomonedas. Después de que el software espía roba la frase semilla, roba la criptomoneda del usuario en su billetera.

Expertos señalan que debido a que la frase semilla fue robada por un grupo delictivo, el grupo detrás de la aplicación puede controlar la billetera de criptomonedas de la víctima y transferir fondos, por eso es mejor mantener la frase semilla de forma segura y acceder de forma offline, en lugar de solo tomar capturas de pantalla en el teléfono.

Apple ha retirado la aplicación de entrega de comida Come Come, pero lo aterrador es que tanto Google Play como la App Store de Apple no detectaron el malware incluido en la aplicación. Actualmente, hay más de una aplicación aparentemente normal como Come Come en la tienda de aplicaciones para que los usuarios las descarguen. Estas aplicaciones pueden evadir por completo la revisión de la plataforma, e incluso la confiable tienda de Apple puede ser engañada. Estas aplicaciones que parecen ser comunes esconden el malware SparkCat, que roba información confidencial como contraseñas de cuentas y la frase mnemotécnica del monedero encriptación.

El malware SparkCat está diseñado específicamente para robar contraseñas y )

Los expertos han denominado al malware que roba la frase semilla como SparkCat, y señalan que es lo suficientemente flexible como para no solo robar la frase semilla, sino también otros datos sensibles en la galería de fotos del teléfono, como mensajes o contraseñas en capturas de pantalla del teléfono.

El equipo de Kaspersky señala que los grupos delictivos tienen como objetivo a los usuarios de Android e iOS en Europa y Asia. Además, se ha detectado que varias aplicaciones en Google Play Store han sido infectadas con SparkCat, con más de 242.000 descargas.

No se puede confirmar si SparkCat se infiltró en estas aplicaciones a través de hackers o si el equipo de desarrollo de la aplicación en sí mismo es un grupo fraudulento. Apple ha eliminado la aplicación ComeCome de la App Store de iOS, mientras que Google Play Store también ha eliminado esta aplicación problemática. Pero los expertos temen que todavía haya muchas aplicaciones comerciales aparentemente normales ocultas en las tiendas, que los usuarios sin conocimiento descargarán.

¿Cómo funciona SparkCat?

SparkCat se refiere a un módulo altamente ofuscado llamado Spark en aplicaciones maliciosas. Este spyware está principalmente escrito en Java y utiliza el protocolo sin identificar implementado en Rust para comunicarse con su servidor de comando y control remoto (C2).

Después de conectarse a su servidor C2, la versión de Android de Spark descargará y utilizará un envoltorio de la interfaz Text Recognizer de la biblioteca de Google ML Kit para extraer caracteres de la pantalla. Este malware cargará diferentes modelos OCR para reconocer letras latinas, coreanas, chinas o japonesas según el idioma del sistema. Si entra en contacto con esta aplicación (a través de la interacción legítima de terceros Easemob Help Desk SDK), la aplicación solicitará acceso a la galería de imágenes del dispositivo móvil. Si los delincuentes obtienen permiso de acceso, escanearán capturas de pantalla con OCR para robar la frase mnemotécnica de la billetera de encriptación y la enviarán al servidor C2.

¿Cómo prevenir el software espía malicioso?

La forma más antigua de proteger la frase semilla de la encriptación de la billetera es escribirla en papel y lápiz. Muchas personas prefieren tomar capturas de pantalla con sus teléfonos móviles por conveniencia, pero los expertos consideran que este método es más peligroso. Además de no descargar aplicaciones de fuentes desconocidas, es importante revisar periódicamente los permisos de las aplicaciones y asegurarse de que no se hayan activado funciones de grabación de audio, grabación de video o captura de pantalla sin motivo aparente. Muchas aplicaciones solicitan estos permisos al descargarlas, por lo que es importante revisarlos con frecuencia. Es recomendable cerrar los permisos de acceso cuando no se están utilizando las aplicaciones para evitar que los terceros ingresen. Esta es una medida básica de prevención que es fácil de implementar en la vida diaria.

Este artículo revela que expertos descubrieron que un software espía se disfrazaba de una aplicación de pedido de comida para robar la frase mnemotécnica de la encriptación de la billetera.