Investigadores de ciberseguridad han descubierto una nueva lectura del chispagato malware en Apple App Store y Google Play Store, más de un año luego de que se descubriera el troyano dirigido a entreambos sistemas operativos móviles.
Se ha descubierto que el malware se oculta adentro de aplicaciones aparentemente benignas, como correo empresarial y servicios de entrega de alimentos, mientras escanea silenciosamente las galerías de fotos de las víctimas en exploración de frases de recuperación de billeteras de criptomonedas.
La empresa rusa de ciberseguridad Kaspersky dijo que encontró dos aplicaciones infectadas en App Store y una en Google Play Store que apuntan principalmente a usuarios de criptomonedas en Asia.
“Sin requisa, la transformación de iOS adopta un enfoque diferente, ya que exploración frases mnemotécnicas de billeteras de criptomonedas, que están en inglés”, dijo la compañía. “Esto hace que la transformación de iOS tenga un efecto potencialmente más amplio, ya que puede afectar a los usuarios independientemente de su región”.
La lectura mejorada de SparkCat para Android incorpora varias capas de ofuscación en comparación con iteraciones anteriores. Esto incluye el uso de virtualización de código y lenguajes de programación multiplataforma para eludir los esfuerzos de exploración. Es más, la lectura de Android exploración palabras esencia japonesas, coreanas y chinas, lo que indica un enfoque oriental.
SparkCat fue documentado por primera vez por Kaspersky en febrero de 2025, destacando su capacidad para disfrutar un maniquí de agradecimiento óptico de caracteres (OCR) para filtrar imágenes seleccionadas que contienen frases de recuperación de billetera de bibliotecas de fotos a un servidor controlado por un atacante.
Las últimas mejoras al malware muestran que es una amenaza en progreso activa, sin mencionar las capacidades técnicas de los actores de amenazas detrás de la operación. Kaspersky había evaluado previamente que la actividad maliciosa era obra de un cirujano de palabra china.
“La transformación actualizada de SparkCat solicita paso para ver fotos en la recinto del teléfono inteligente de un sucesor en ciertos escenarios, al igual que la primera lectura del troyano”, dijo el investigador de Kaspersky Sergey Puzan a The Hacker News. “Analiza el texto de las imágenes almacenadas mediante un módulo de agradecimiento óptico de caracteres”.
“Si el timador encuentra palabras esencia relevantes, envía la imagen a los atacantes. Teniendo en cuenta las similitudes de la muestra presente y la antecedente, creemos que los desarrolladores de la nueva lectura del malware son los mismos. Esta campaña subraya una vez más la importancia de utilizar soluciones de seguridad para los teléfonos inteligentes para mantenerse protegidos contra una amplia escala de ciberamenazas”.
