Un sofisticado malware troyano conocido como SparkKitty ha estado atacado activamente a dispositivos iOS y Android desde principios de 2024, infiltrando tanto las tiendas de aplicaciones oficiales como los sitios web no confiables para robar imágenes de las galerías de dispositivos de los usuarios.
Esta campaña de malware, que parece ser una evolución de la operación anterior de SparkCat, plantea amenazas significativas para los usuarios principalmente en el sudeste asiático y China por las fotos personales indiscriminadamente exfiltradas con un sospecha de enfoque en capturar frases de semillas de billetera criptomonedas y otros datos visuales sensibles.
Sparkkitty ha demostrado una notable sofisticación en sus métodos de distribución, evitando con éxito los procesos de investigación de la tienda de aplicaciones para llegar a los usuarios a través de canales aparentemente legítimos.
El malware se ha descubierto incrustado en aplicaciones disponibles en Google Play Store y la tienda de aplicaciones de Apple, incluidas aplicaciones como 币 Coin (un rastreador de criptomonedas) y SOEX (una plataforma de mensajería con características de comercio de criptomonedas).
La aplicación SOEX solo obtuvo más de 10,000 descargas antes de su eliminación de Google Play, destacando la capacidad del malware para lograr una distribución generalizada a través de plataformas confiables.
En dispositivos iOS, SparkKitty explota perfiles de aprovisionamiento empresarial, que están diseñados para la distribución de aplicaciones corporativas, pero se pueden abusar de aplicaciones maliciosas de forma mordida fuera del proceso de revisión estándar de Apple.
Esta técnica permite que el malware elude las medidas de seguridad tradicionales y llegue a los usuarios que el ecosistema de aplicaciones curado de Apple podría proteger.
Capacidades técnicas y ejecución
El malware demuestra estrategias de ejecución específicas de la plataforma al tiempo que mantiene capacidades de sigilo consistentes en ambos sistemas operativos.
Las variantes de Android de SparkKitty son desarrollado Uso de lenguajes de programación de Java y Kotlin, con algunas versiones que aprovechan los módulos XPosed Maliciosos para inyectar el código en aplicaciones de confianza.
Estas variantes se activan en el lanzamiento de la aplicación o interacciones específicas del usuario, solicitando posteriormente permisos de almacenamiento para acceder a las imágenes del dispositivo.
Para los dispositivos iOS, SparkKitty utiliza el mecanismo de carga de clase automática de Objective-C a través del selector +(AfimageGateOwnload Load), que se desencadena inmediatamente después del lanzamiento de la aplicación.
El malware incorpora verificaciones sofisticadas de verificación para garantizar que la ejecución solo ocurra en entornos previstos, examinando el archivo de información de la aplicación para las claves de configuración específicas antes de continuar con sus actividades maliciosas.
A diferencia de su predecesor, SparkCat, que empleó la tecnología de reconocimiento de caracteres ópticos (OCR) para atacar selectivamente imágenes específicas, Sparkkitty adopta un enfoque más agresivo al exfiltrar todas las fotos accesibles de las galerías de dispositivos.
Esta estrategia integral de robo de datos aumenta significativamente la probabilidad de capturar información confidencial, incluidas frases de semillas de billetera de criptomonedas, documentos de identificación personal y registros financieros.
El malware mantiene una base de datos local para rastrear imágenes anteriormente cargadas y monitorea continuamente los cambios en la galería para robar contenido recién agregado.
Una vez recopiladas, las imágenes se cargan en servidores de comando y control a través del punto final ‘/API/PUTImages’, utilizando infraestructura en la nube, incluidas AWS S3 y Alibaba OSS para la entrega de la carga útil y la exfiltración de datos.
Dirección geográfica e impacto del usuario
La campaña de Sparkkitty aparece estratégicamente centrada en los usuarios en el sudeste asiático y China, alineándose con aplicaciones específicamente adaptadas para estas audiencias regionales.
El malware se ha descubierto en aplicaciones relacionadas con criptomonedas, juegos de azar y entretenimiento para adultos, incluidas las modificaciones de Tiktok troyanizadas, lo que sugiere una focalización deliberada de verticales de aplicaciones de alto riesgo donde los usuarios podrían tener más probabilidades de almacenar información visual sensible.
La aparición de Sparkkitty representa una escalada significativa en la sofisticación de malware móvil, lo que demuestra cómo los actores de amenaza pueden infiltrarse con éxito en los canales de distribución de aplicaciones confiables.
Los usuarios deben ejercer una precaución extrema al descargar aplicaciones, particularmente aquellas relacionadas con criptomonedas o servicios financieros, y evitar almacenar capturas de pantalla sensibles en las galerías de dispositivos.
La capacidad del malware para evitar las medidas de seguridad de Google Play y App Store subraya la necesidad crítica de una mayor conciencia de seguridad móvil y medidas de protección.
COI
21879CE5A61E47E5C968004D4BD24505E29056139CBC3FE1C5DD80C6F184F
2
1D2E41BEB37E9502D1B81775A53A6E498842DAED93FE19CDCD4CBD2A7228D12D
94297b685a5659647a3c021e82e2fd62e5e607b242b8289669cfee8d5c79e3
75A8D1EA41D9B4A9AC45F521F7C8422858BFC1C14D5BA85C16D08FBD1C61B96C
Cf3ab3313a315a265fe5627e4b41b418f7d62ad649f433b85198ff07f14907d
7ffb912d9c120e97d3b052b57d15d4cdb28e3b017cd26695465fed4348d1e
17B71715ABA2D00C6791B6C72D275AF4FC63D56870ABE603BA70AC03B2E810
Aprenda lo que los servicios de seguridad administrados realmente cuestan y cómo evitar pagar en exceso para una protección limitada => Guía de descarga
