Investigadores de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que ataca teléfonos inteligentes con sistemas operativos iOS y Android. Este malware envía a los atacantes imágenes del teléfono infectado e información sobre el dispositivo. El malware estaba incrustado en aplicaciones relacionadas con criptomonedas y apuestas, así como en una aplicación de TikTok troyanizada, y fue distribuido tanto en App Store como en Google Play, además de en sitios web fraudulentos. Los expertos sugieren que el objetivo de los atacantes es robar activos en criptomoneda.
Kaspersky ha informado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles técnicos indican que esta nueva campaña podría estar relacionada con SparkCat, un troyano detectado anteriormente que fue el primero en su tipo en atacar dispositivos iOS. SparkCat incluía una función de reconocimiento óptico de caracteres (OCR), que le permitía revisar las galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas o contraseñas. El caso de SparkKitty marca la segunda vez en un año que los expertos de Kaspersky detectan un troyano ladrón en la App Store.
En la App Store, el troyano se hacía pasar por una aplicación relacionada con criptomonedas llamada 币coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de iPhone, el malware se distribuía bajo la apariencia de aplicaciones de TikTok y apuestas.
Páginas falsas que imitaban la App Store para instalar una supuesta app de TikTok mediante herramientas de desarrollador, y que también incluían una tienda integrada en la app modificada, la cual solo aceptaba pagos en criptomonedas.
“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo, como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores. Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok, que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines maliciosos”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky
En el caso del sistema Android, los atacantes apuntaron a usuarios tanto en sitios web de terceros como en Google Play, haciendo pasar el malware por varios servicios de criptomonedas. Por ejemplo, una de las aplicaciones infectadas —un mensajero llamado SOEX con función de intercambio de criptomonedas— fue descargada más de 10.000 veces desde la tienda oficial.
Una supuesta app de intercambio de criptomonedas, SOEX, en Google Play.
Los expertos también encontraron archivos APK de aplicaciones infectadas (que se pueden instalar directamente en teléfonos Android, sin pasar por las tiendas oficiales) en sitios web de terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas apps se presentaban como proyectos de inversión en criptomonedas. Los sitios web en los que se alojaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.
“Una vez instaladas, las aplicaciones funcionaban tal como se describía, sin embargo, en segundo plano enviaban a los atacantes las fotos de la galería del teléfono. Estos pueden intentar luego encontrar datos confidenciales en las imágenes, como frases de recuperación de billeteras de criptomonedas con el fin de acceder a los activos de las víctimas. Hay señales indirectas de que los atacantes están interesados en los activos digitales de las personas: muchas de las aplicaciones infectadas estaban relacionadas con criptomonedas, y la app de TikTok ‘troyanizada’ también tenía una tienda integrada que solo aceptaba pagos en cripto”, agregó el experto.
Para evitar convertirse en víctima de este malware, los expertos de Kaspersky recomiendan:
• Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la vuelvas a usar hasta que se publique una actualización que corrobore que su funcionalidad maliciosa ya no está presente.
• Si una app solicita acceso a tu galería de fotos, asegúrate de que realmente lo necesita. Conceder permisos innecesarios puede facilitar el robo de imágenes con información sensible.
• Evita guardar en tu galería capturas de pantalla con información sensible, como frases de recuperación de billeteras de criptomonedas o bien, tus claves de acceso. Las contraseñas, por ejemplo, pueden almacenarse en aplicaciones especializadas como Kaspersky Password Manager.
• Usa un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware. Debido a la arquitectura del sistema operativo de Apple, la solución de Kaspersky para iOS muestra una advertencia si detecta un intento de transferencia de datos al servidor del atacante, y bloquea dicha conexión.
Para conocer un informe detallado sobre este ataque puede consultar en Securelist.com.