El centre de recerca d’amenaces de Kaspersky ha descobert un nou troià de robatori de dades anomenat SparkCat, actiu a App Store i Google Play des d’almenys el març de 2024. Aquest és el primer cas conegut de codi maliciós basat en reconeixement òptic que apareix a AppStore. SparkCat empra aprenentatge automàtic per analitzar galeries d’imatges i robar captures de pantalla que continguin frases de recuperació de bitlleteres de criptomonedes. Igualment, és capaç d’identificar i extreure altres dades delicades d’imatges, com ara contrasenyes.

Com es propaga el programari maliciós (malware)

El programari maliciós es distribueix a través d’aplicacions legítimes infectades i mitjançant enganys en forma d’aplicacions de missatgeria, assistents d’IA, serveis de lliurament de menjar, aplicacions relacionades amb criptomonedes i més. Algunes d’aquestes aplicacions estan disponibles a Google Play i App Store, mentre que altres versions infectades es distribueixen a través de fonts no oficials. Segons les dades de telemetria de Kaspersky, les aplicacions infectades a Google Play han estat descarregades més de 242.000 vegades.

A qui s’adreça

El programari maliciós té com a objectiu principal usuaris als Emirats Àrabs Units, Europa i Àsia. Aquesta conclusió es basa en l’anàlisi de les àrees d’operació de les aplicacions infectades i l’anàlisi tècnica del programari maliciós. SparkCat cerca paraules clau en múltiples idiomes dins de les galeries d’imatges, incloent-hi xinès, japonès, coreà, anglès, txec, francès, italià, polonès i portuguès. Tot i això, els experts creuen que hi podria haver víctimes en altres països.

Com funciona SparkCat

Un cop instal·lat, el programari maliciós sol·licita accés a la galeria de fotos de l’usuari en certes situacions. Després, analitza el text a les imatges emmagatzemades i fa servir un mòdul de reconeixement òptic de caràcters (OCR). Si detecta paraules clau rellevants, envia la imatge als atacants.

L’objectiu principal dels ciberdelinqüents és robar frases de recuperació de moneders de criptomonedes. Amb aquesta informació, poden obtenir el control total de la cartera de la víctima i robar-ne els fons. A més, el programari maliciós pot extreure altres informacions personals de captures de pantalla, com missatges i contrasenyes.

“Aquest és el primer cas conegut d’un troià basat en OCR que aconsegueix infiltrar-se a App Store”, apunta Serguei Puzan, analista de programari maliciós a Kaspersky. «Tant a App Store com a Google Play, encara no queda clar si les aplicacions van ser compromeses a través d’un atac a la cadena de subministrament o per altres mètodes. Algunes aplicacions, com els serveis de lliurament de menjar, semblen legítimes, mentre que d’altres estan clarament dissenyades com a enganys», afegeix.

Per la seva banda, Dmitri Kalinin, també analista de programari maliciós a Kaspersky, explica que la campanya de SparkCat té característiques úniques que la fan perillosa. «Primer, es propaga a través de les botigues oficials d’aplicacions i opera sense signes evidents d’infecció. El seu sigil en dificulta la detecció tant per als reguladors de les botigues com per als usuaris. A més, els permisos que sol·licita semblen raonables, per la qual cosa poden passar desapercebuts. Per exemple, l’accés a la galeria pot semblar necessari per al funcionament de l’aplicació, especialment quan els usuaris interactuen amb el servei d‟atenció al client», conclou.

En analitzar la versió per a Android de SparkCat, els experts de Kaspersky van trobar comentaris al codi escrits en xinès. A més, la versió per a iOS contenia noms de directoris de desenvolupament com «qiongwu» i «quiwengjing«, cosa que suggereix que els atacants darrere aquesta campanya són parlants nadius de xinès. Tot i això, no hi ha prou evidència per atribuir aquesta campanya a un grup cibercriminal específic.

Atacs potenciats per IA

Cada vegada més ciberdelinqüents estan incorporant xarxes neuronals a les seves eines malicioses. En el cas de SparkCat, el mòdul per a Android desxifra i executa un complement d’OCR fent servir la biblioteca Google ML Kit per reconèixer text en imatges emmagatzemades. Un mètode similar es fa servir en la versió maliciosa per a iOS.

Els ciberdelinqüents estan començant a integrar xarxes neuronals a les seves eines malicioses.