Detectan malware de lectura de pantalla en App Store: descubre las apps que amenazan la seguridad de tu iPhone

Investigadores de la empresa de ciberseguridad Kaspersky han informado de la presencia, por primera vez en la App Store, de un nuevo tipo de stealer. Este es un software malicioso diseñado específicamente para extraer información confidencial de un dispositivo, pero en este caso utilizando tecnología OCR (Reconocimiento Óptico de Caracteres) para extraer texto de imágenes y después enviar la información a un servidor externo.

SparkCat está enfocado a obtener frases de recuperación de billeteras de criptomonedas, también conocidas como 'mnemónicos', que pueden usarse para recuperar el acceso a las de las víctimas, aunque también extrae otro tipo de datos.

En una publicación en el blog de Kaspersky, los investigadores explican que descubrieron la campaña con SparkCat a finales de 2024, con una probable creación en marzo de ese mismo año.

Así funciona SparkCat

El malware comienza a hacer su trabajo cuando el usuario inicia el contacto con el soporte de chat de la aplicación que contiene SparkCat. Entonces solicita un permiso para acceder a la galería de fotos del usuario. Una vez otorgado, el malware solicita los parámetros para procesar los resultados de OCR y también una lista de palabras clave a un servidor externo.

A continuación, escanea las imágenes en busca de capturas de pantalla de contraseñas de billeteras criptográficas o frases de recuperación. Una vez filtradas las imágenes siguiendo los parámetros recibidos, son enviadas a los atacantes que podrán utilizarlas para acceder a las billeteras y robar criptomonedas.

SparkCat es flexible, puede robar otros datos confidenciales de la galería, como mensajes u otros tipos de contraseñas capturadas en pantalla y también recopila información del dispositivo.

El origen de la infección no está claro, Kaspersky dice que no puede 'confirmar con certeza que la infección fue el resultado de un ataque a la cadena de suministro o una acción deliberada por parte de los desarrolladores'.

Las apps con SparkCat

Los investigadores no son específicos con las apps infectadas. Ilustran el informe con imágenes de algunas de las infectadas con SparkCat en la App Store. Aparecen WeTink, AnyGPT, ChatAI y Come Come; esta última también disponible, incluyendo el malware, para Android.

El informe sí señala una larga lista de bundle IDs o identificadores de paquetes incrustados en el malware, lo que permite a SparkCat identificar la aplicación específica en la que se está ejecutando y así adaptar su comportamiento. Son 10 en Android y 43 en iOS. El dato permite identificar a las apps que podrían estar infectadas, al incluirse su nombre en el identificador completo. El listado completo es el siguiente:

Aplicaciones de Android:

• com.crownplay.vanity.address.
• com.atvnewsonline.app.
• com.bintiger.mall.android.
• com.websea.exchange.
• org.safew.messenger.
• org.safew.messenger.store.
• com.tonghui.paybank.
• com.bs.feifubao.
• com.sapp.chatai.
• com.sapp.starcoin.

Aplicaciones de iOS:

• im.pop.app.iOS.Messenger.
• com.hkatv.ios.
• com.atvnewsonline.app.
• io.zorixchange.
• com.yykc.vpnjsq.
• com.llyy.au.
• com.star.har91vnlive.
• com.jhgj.jinhulalaab.
• com.qingwa.qingwa888lalaaa.
• com.blockchain.uttool.
• com.wukongwaimai.client.
• com.unicornsoft.unicornhttpsforios.
• staffs.mil.CoinPark.
• com.lc.btdj.
• com.baijia.waimai.
• com.ctc.jirepaidui.
• com.ai.gbet.
• app.nicegram.
• com.blockchain.ogiut.
• com.blockchain.98ut.
• com.dream.towncn.
• com.mjb.Hardwood.Test.
• com.galaxy666888.ios.
• njiujiu.vpntest.
• com.qqt.jykj.
• com.ai.sport.
• com.feidu.pay.
• app.ikun277.test.
• com.usdtone.usdtoneApp2.
• com.cgapp2.wallet0.
• com.bbydqb.
• com.yz.Byteswap.native.
• jiujiu.vpntest.
• com.wetink.chat.
• com.websea.exchange.
• com.customize.authenticator.
• im.token.app.
• com.mjb.WorldMiner.new.
• com.kh-super.ios.superapp.
• com.thedgptai.event.
• com.yz.Eternal.new.
• xyz.starohm.chat.
• com.crownplay.luckyaddress1.