Malware SparkCat: una amenaza para las billeteras criptográficas móviles

Aplicaciones camufladas atacan a los monederos de criptomonedas

Se ha descubierto que una amenaza conocida como SparkCat Malware se está infiltrando en las tiendas de aplicaciones de Apple y Google. Esta campaña emplea aplicaciones fraudulentas para recopilar información confidencial de los usuarios, en particular frases mnemotécnicas asociadas con monederos de criptomonedas. Al incorporar componentes maliciosos en aplicaciones aparentemente legítimas, los operadores detrás de SparkCat han creado un medio eficaz para robar información de recuperación crítica a víctimas desprevenidas.

La campaña se basa en un sistema avanzado de reconocimiento óptico de caracteres (OCR) para escanear y extraer texto de las imágenes almacenadas en los dispositivos infectados. Este proceso permite al malware identificar y capturar frases de recuperación, que luego se transmiten a un servidor remoto controlado por los atacantes. Las implicaciones de este método son especialmente preocupantes, ya que permite a los actores de amenazas eludir las medidas de seguridad tradicionales y obtener acceso no autorizado a los activos digitales.

Cómo funciona el malware SparkCat

En el centro de la campaña SparkCat se encuentra un kit de desarrollo de software (SDK) integrado que incluye un componente Java llamado Spark, que se presenta falsamente como un módulo de análisis. Los investigadores aún están investigando si este SDK se introdujo a través de una vulneración de la cadena de suministro o si los desarrolladores lo incluyeron deliberadamente en sus aplicaciones.

SparkCat se ha encontrado en aplicaciones que se hacen pasar por herramientas de inteligencia artificial (IA), servicios de entrega de alimentos y aplicaciones relacionadas con la Web3. Si bien algunas de estas aplicaciones brindan una funcionalidad legítima limitada, en última instancia sirven como vehículo para el verdadero objetivo del malware: recolectar frases de recuperación de imágenes almacenadas. Una vez que se activa el módulo malicioso, el malware descifra e implementa un complemento de OCR creado con la biblioteca ML Kit de Google para escanear galerías de imágenes en busca de palabras clave específicas vinculadas a billeteras de criptomonedas.

Expansión más allá de Android a iOS

Si bien ya se habían detectado amenazas que aprovechaban la tecnología OCR en Android, SparkCat es uno de los primeros casos de una táctica de este tipo en la App Store de Apple. La variante iOS del malware sigue una metodología similar, utilizando la biblioteca ML Kit de Google para extraer datos de las imágenes. Además, el malware incorpora técnicas de comunicación basadas en Rust para sus funciones de comando y control (C2), un enfoque poco habitual para las amenazas basadas en dispositivos móviles.

Los informes sugieren que SparkCat se ha implementado activamente desde marzo de 2024 y que las aplicaciones afectadas se distribuyeron a través de tiendas de aplicaciones oficiales y de terceros. Algunas aplicaciones que albergaban este código malicioso acumularon más de 242 000 descargas antes de su eliminación, lo que indica que una base de usuarios significativa puede haber quedado expuesta.

Las implicaciones de este ataque

El principal riesgo asociado con el malware SparkCat radica en su capacidad de robar frases de recuperación de billeteras de criptomonedas. Estas frases son una medida de seguridad fundamental que permite a los usuarios restaurar el acceso a sus activos digitales en caso de pérdida o vulneración de un dispositivo. Si estas frases caen en manos equivocadas, los actores de amenazas pueden transferir fondos desde las billeteras afectadas, dejando a las víctimas con poco o ningún recurso para recuperarse.

Más allá de las pérdidas financieras, la operación de SparkCat también pone de relieve preocupaciones más amplias en relación con la seguridad de las aplicaciones. El hecho de que este malware haya logrado infiltrarse tanto en la App Store de Apple como en Google Play pone de relieve posibles lagunas en los procesos de verificación de las aplicaciones publicadas. Los usuarios que confían en las tiendas de aplicaciones oficiales para obtener garantías de seguridad pueden no estar siempre a salvo de amenazas sofisticadas como SparkCat.

¿Quién está detrás de SparkCat?

El análisis de la funcionalidad del malware, la selección de palabras clave y las regiones de distribución sugieren que la campaña se dirige principalmente a usuarios de Europa y Asia. Además, los investigadores han indicado que los responsables de SparkCat hablan chino con fluidez, lo que apunta a una posible región de origen de los atacantes. Sin embargo, la atribución definitiva sigue siendo un esfuerzo en curso.

Una de las características que definen a SparkCat es su capacidad de operar de forma discreta. Los permisos solicitados por las aplicaciones infectadas parecen inofensivos y, a menudo, coinciden con sus supuestas funcionalidades. Este enfoque engañoso dificulta que los usuarios reconozcan la presencia de una amenaza oculta dentro del software que descargan.

Lecciones de SparkCat y amenazas emergentes

La aparición de SparkCat refuerza la importancia de estar alerta al instalar aplicaciones, incluso de fuentes oficiales. Los expertos en ciberseguridad recomiendan revisar minuciosamente los permisos de las aplicaciones, examinar las opiniones de los usuarios y verificar la legitimidad de los desarrolladores antes de descargar cualquier software nuevo. A medida que los cibercriminales siguen perfeccionando sus tácticas, los usuarios deben ser cautelosos y proactivos a la hora de proteger su información confidencial.

Las tendencias recientes también indican un número creciente de amenazas dirigidas a los sistemas macOS y dispositivos móviles. La creciente popularidad de las criptomonedas y los activos digitales los ha convertido en un objetivo atractivo para los cibercriminales, lo que enfatiza aún más la necesidad de mejorar las prácticas de seguridad. SparkCat es un claro recordatorio de que incluso las plataformas digitales bien establecidas no son inmunes a las amenazas emergentes.

Respuesta de la industria y medidas de protección

Tras el descubrimiento de SparkCat, tanto Apple como Google han tomado medidas para eliminar las aplicaciones infractoras de sus respectivas tiendas. A partir de principios de febrero de 2025, estas aplicaciones ya no estarán disponibles para su descarga. Google también ha confirmado que los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware a través de su función Play Protect.

Si bien estas acciones mitigan algunos de los riesgos inmediatos, los usuarios que hayan instalado previamente alguna de las aplicaciones afectadas deben tomar medidas proactivas para proteger sus dispositivos. Se recomienda comprobar si hay accesos no autorizados a las billeteras de criptomonedas, eliminar aplicaciones sospechosas y actualizar la configuración de seguridad para minimizar los posibles daños.

En resumen

La campaña de malware SparkCat ejemplifica la creciente sofisticación de las amenazas cibernéticas dirigidas a los usuarios de criptomonedas. Al explotar las vulnerabilidades de las tiendas de aplicaciones y aprovechar las técnicas avanzadas de OCR, los atacantes han demostrado un nuevo nivel de ingenio en el robo digital. En el futuro, mantenerse informado sobre las amenazas emergentes y adoptar prácticas estrictas de ciberseguridad serán esenciales para mantener la seguridad digital.

En Willa
February 10, 2025
Android Malware, Mac Malware, Malware, Scam
Spanish
February 10, 2025
Android Malware, Mac Malware, Malware, Scam

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.