(https://i.postimg.cc/XNdTzzVB/Cat-Bitcoin.png) (https://postimages.org/)
Las aplicaciones de Android e iOS en Google Play Store y Apple App Store contienen un kit de desarrollo de software malicioso (SDK) diseñado para robar frases de recuperación de monederos de criptomonedas mediante ladrones de reconocimiento óptico de caracteres (OCR).
La campaña se llama "SparkCat" por el nombre ("Spark") de uno de los componentes maliciosos del SDK en las aplicaciones infectadas, y es probable que los desarrolladores no participen en la operación de manera consciente.
Según Kaspersky, solo en Google Play, donde los números de descarga están disponibles públicamente, las aplicaciones infectadas se descargaron más de 242.000 veces.
"Encontramos aplicaciones de Android e iOS que tenían un SDK/marco malicioso integrado para robar frases de recuperación de monederos de criptomonedas, algunas de las cuales estaban disponibles en Google Play y App Store", explica Kaspersky.
"Las aplicaciones infectadas se descargaron más de 242.000 veces desde Google Play. Este es el primer caso conocido de un ladrón encontrado en App Store".
El SDK de Spark roba tus criptomonedas
El SDK malicioso en las aplicaciones de Android infectadas utiliza un componente Java malicioso llamado "Spark", disfrazado de módulo de análisis. Utiliza un archivo de configuración cifrado almacenado en GitLab, que proporciona comandos y actualizaciones operativas.
En la plataforma iOS, el marco tiene diferentes nombres como "Gzip", "googleappsdk" o "stat". Además, utiliza un módulo de red basado en Rust llamado "im_net_sys" para manejar la comunicación con los servidores de comando y control (C2).
El módulo utiliza el OCR de Google ML Kit para extraer texto de las imágenes en el dispositivo, tratando de localizar frases de recuperación que se pueden usar para cargar billeteras de criptomonedas en los dispositivos de los atacantes sin conocer la contraseña.
"Este (el componente malicioso) carga diferentes modelos de OCR según el idioma del sistema para distinguir caracteres latinos, coreanos, chinos y japoneses en las imágenes", explica Kaspersky.
"Luego, el SDK carga información sobre el dispositivo al servidor de comandos a lo largo de la ruta /api/e/d/u y, en respuesta, recibe un objeto que regula el funcionamiento posterior del malware".
El malware busca imágenes que contienen secretos mediante palabras clave específicas en diferentes idiomas, que cambian según la región (Europa, Asia, etc.).
Kaspersky afirma que, si bien algunas aplicaciones muestran una segmentación específica por región, no se puede descartar la posibilidad de que funcionen fuera de las áreas geográficas designadas.
Las aplicaciones infectadas
Según Kaspersky, hay dieciocho aplicaciones de Android y diez de iOS infectadas, y muchas de ellas aún están disponibles en sus respectivas tiendas de aplicaciones.
Una de las aplicaciones que Kaspersky ha informado como infectadas es la aplicación Android ChatAi, que se instaló más de 50.000 veces. Esta aplicación ya no está disponible en Google Play.
En general, almacenar frases de recuperación de billeteras de criptomonedas en capturas de pantalla es una práctica que se debe evitar.
En su lugar, guárdelas en medios físicos sin conexión, dispositivos de almacenamiento extraíbles cifrados o en la bóveda de administradores de contraseñas sin conexión alojados por usted mismo.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/mobile/crypto-stealing-apps-found-in-apple-app-store-for-the-first-time/