Una nueva campaña de malware denominada Sparkcat ha utilizado un traje de aplicaciones falsas en las respectivas tiendas de aplicaciones de Apple y Google para robar frases mnemónicas de las víctimas asociadas con billeteras de criptomonedas.
Los ataques aprovechan un maniquí de agradecimiento de caracteres ópticos (OCR) para exfiltrar imágenes selectas que contienen frases de recuperación de billetera de bibliotecas de fotos a un servidor de comando y control (C2), dijeron los investigadores de Kaspersky Dmitry Kalinin y Sergey Puzan en un crónica técnico.
El apodo es una relato a un Kit de expansión de software integrado (SDK) que emplea un componente Java llamado Spark que se disfraza de módulo de examen. Actualmente no se sabe si la infección fue el resultado de un ataque de la sujeción de suministro o si los desarrolladores lo introdujeron intencionalmente.
Si adecuadamente esta no es la primera vez que el malware de Android con capacidades de OCR se detecta en la naturaleza, es una de las primeras instancias en las que se ha antitético dicho robador en la App Store de Apple. Se dice que las aplicaciones infectadas en Google Play se descargaron más de 242,000 veces.
Se evalúa que la campaña ha estado activa desde marzo de 2024, con las aplicaciones distribuidas a través de tiendas de aplicaciones oficiales y no oficiales. Las aplicaciones se disfrazan de la inteligencia industrial (IA), la entrega de alimentos y las aplicaciones Web3, aunque algunas de ellas parecen ofrecer una funcionalidad legítima.
“El módulo de malware de Android descifraría y iniciaría un complemento OCR construido con la biblioteca de kits ML de Google, y lo usaría para registrar el texto que encontró en las imágenes en el interior de la pasillo”, dijo Kaspersky. “Las imágenes que coinciden con las palabras esencia recibidas del C2 se enviaron al servidor”.
En una renglón similar, la traducción iOS de SparkCat se basamento en la biblioteca del kit ML de Google para OCR para robar imágenes que contienen frases mnemónicas. Un aspecto trascendental del malware es su uso de un mecanismo de comunicación basado en el óxido para C2, poco rara vez observado en las aplicaciones móviles.
Un examen adicional de las palabras esencia utilizadas y las regiones donde estas aplicaciones estaban disponibles indican que la campaña está dirigida principalmente a los usuarios en Europa y Asia. Se evalúa que la actividad maliciosa es el trabajo de un actor de amenaza que palabra chino con fluidez.
“Lo que hace que este troyano sea particularmente peligroso es que no hay indicios de un implante solapado oculto en el interior de la aplicación”, dijeron los investigadores. “Los permisos que solicita pueden parecer que son necesarios para su funcionalidad central o parecen inofensivos a primera paisaje”.
La divulgación se produce cuando Zimperium Zlabs detalló otra campaña de malware móvil dirigida a los propietarios de dispositivos de Android indios al distribuir archivos APK maliciosos a través de WhatsApp bajo la apariencia de aplicaciones bancarias y gubernamentales, lo que permite que las aplicaciones cosechen información confidencial e información financiera.
La compañía de seguridad cibernética dijo que ha identificado más de 1,000 aplicaciones falsas vinculadas a la campaña, con los atacantes aprovechando aproximadamente 1,000 números de teléfono codificados por duros como puntos de exfiltración para mensajes SMS y contraseñas únicas (OTP).
“A diferencia de los troyanos bancarios convencionales que dependen sólo de los servidores de comando y control (C&C) para robo de contraseña única (OTP), esta campaña de malware aprovecha los números de teléfono en vivo para redirigir los mensajes de SMS, dejando un pista digital rastreable para las agencias de aplicación de la ley Rastree a los actores de amenaza detrás de esta campaña “, dijo el investigador de seguridad Aazim Yaswant.
Se dice que la campaña de ataque, indicación FatboyPanel, ha acumulado 2.5 GB de datos confidenciales hasta la aniversario, todo lo cual está alojado en puntos finales de Firebase que son accesibles para cualquier persona sin autenticación.
Esto incluye mensajes de SMS de bancos indios, datos bancarios, información de la polímero de crédito y débito, y detalles de identificación emitidos por el gobierno que pertenecen a unos 50,000 usuarios, la mayoría de los cuales se encuentran en los estados indios de Cohete Occidental, Bihar, Jharkhand, Karnataka y Madhya Pradesh.
Estos incidentes cuentan una historia de advertencia sobre la importancia de examinar adecuadamente las aplicaciones de código, incluida la escrutinización de las revisiones y compulsar la autenticidad de los desarrolladores, ayer de descargarlas, incluso si están cargadas en la tienda de aplicaciones oficiales.
El expansión asimismo sigue la aparición de 24 nuevas familias de malware dirigidas a los sistemas Apple MacOS en 2024, en comparación con el 21 en 2023, según el investigador de seguridad Patrick Wardle.
Esto coincide con un aumento en los ataques de robador de información, como aquellos que involucran a Poseidón, Atomic y Cthulhu, que están específicamente dirigidos a los usuarios del sistema activo de escritorio.
“Los infantes de los infantes que aprovechan a los macos a menudo explotan el entorno nativo de AppleScript”, dijeron esta semana la Pelotón de Palo Suspensión Networks.
“Este entorno proporciona un amplio acercamiento al sistema activo, y asimismo simplifica la ejecución con su sintaxis del lengua natural. Donado que estas indicaciones pueden parecerse a las indicaciones legítimas del sistema, los actores de amenaza usan este entorno para engañar a las víctimas a través de la ingeniería social”.
