Los investigadores de ciberseguridad han descubierto una nueva y sofisticada campaña de spyware llamada SparkKitty que se ha infiltrado con éxito tanto en la tienda de aplicaciones de Apple como Google Play Store, marcando una escalada significativa en la distribución de malware móvil a través de canales oficiales.
Resumen 1. Sparkkitty es un malware recientemente descubierto que infecta los dispositivos iOS y Android a través de aplicaciones maliciosas en la App Store y Google Play. 2. Los analistas de Securelist descubrieron que el objetivo principal de Sparkkitty es robar todas las imágenes de las galerías de las víctimas, con la esperanza de capturar datos confidenciales como frases de billetera criptográfica. 3. El malware utiliza marcos disfrazados y código ofuscado para infección y persistencia, comunicándose con los servidores de comandos para exfiltrar los datos. 4. La campaña ha dirigido a los usuarios principalmente en el sudeste asiático y China desde principios de 2024 y sigue activo, lo que representa serios riesgos financieros.
Este espía de Trojan representa la última evolución en los ataques centrados en criptomonedas, basándose en la campaña SparkCat descubierta previamente mientras se amplía su alcance en ambas plataformas móviles principales.
El malware demuestra una notable versatilidad en sus vectores de ataque, extendiéndose no solo a través de tiendas oficiales de aplicaciones sino también a través de fuentes no oficiales y aplicaciones modificadas.
Página de descarga de la aplicación iOS (fuente – Securelist)
SparkKitty se dirige simultáneamente a los dispositivos iOS y Android, empleando técnicas específicas de la plataforma para evitar medidas de seguridad y establecer un acceso persistente a dispositivos víctimas.
Flujo de instalación de perfil (fuente – Securelist)
La campaña ha estado activa desde al menos febrero de 2024, lo que indica un esfuerzo sostenido y coordinado de los actores de amenaza para comprometer a los usuarios móviles a nivel mundial.
Investigadores de seguridad anotado que Sparkkitty emplea múltiples métodos de distribución para maximizar su potencial de infección.
En los dispositivos iOS, la carga útil maliciosa se entrega a través de marcos que imitan bibliotecas legítimas de redes como AfNetworking.framework o Alamofire.framework, al tiempo que utilizan bibliotecas ofuscadas disfrazadas de componentes del sistema como LibswiftDarwin.dylib.
Tienda sospechosa abierta dentro de una aplicación Tiktok (fuente – Securelist)
La variante de Android funciona a través de implementaciones de Java y Kotlin, con algunas versiones que funcionan como módulos xpuestos maliciosos que conectan los puntos de entrada de aplicaciones.
Aplicación infectada en Google Play (fuente – Securelist)
El objetivo principal de SparkKitty parece ser el robo de fotografías almacenadas en dispositivos infectados, con un enfoque particular en imágenes que contienen frases de semillas de billetera de criptomonedas.
A diferencia de su predecesor SparkCat, que utilizó el reconocimiento de caracteres ópticos para dirigirse selectivamente a un contenido específico, Sparkkitty adopta un enfoque más integral al robar indiscriminadamente todas las imágenes accesibles de las galerías de dispositivos.
Esta estrategia de recolección más amplia sugiere que los atacantes están lanzando una red más amplia para capturar información financiera potencialmente valiosa.
La campaña ha demostrado un enfoque geográfico considerable, principalmente dirigidos a usuarios en el sudeste asiático y China a través de aplicaciones diseñadas específicamente para estas regiones, incluidos los juegos de juego chinos, las modificaciones de Tiktok y las aplicaciones orientadas a los adultos.
Esta orientación regional se alinea con los temas de criptomonedas integrados en muchas de las aplicaciones infectadas, lo que sugiere que los actores de amenaza poseen un conocimiento íntimo de sus datos demográficos de víctimas previstas.
Mecanismos de implementación técnica y persistencia
La sofisticación técnica de Sparkkitty se hace evidente al examinar sus detalles de implementación en ambas plataformas.
En los dispositivos iOS, el malware aprovecha el mecanismo de carga de clase automática de Objective-C a través del selector de carga especial, que se ejecuta automáticamente cuando se inician las aplicaciones.
El punto de entrada para la actividad maliciosa ocurre dentro del selector modificado de +(AfimageDeOwLoader Load), una función que no existe en las implementaciones legítimas de trabajo AFNET.
El malware implementa un proceso de verificación de varias etapas antes de activar su carga útil. Primero verifica si la tecla CCOOL en el archivo de configuración de información de la aplicación.
Esto sirve como un mecanismo de autenticación inicial para evitar la ejecución accidental en entornos no deseados.
Después de una verificación exitosa, SparkKitty recupera y descifra una configuración codificada Base64 de la tecla CCC utilizando el cifrado AES-256 en modo ECB con la clave codificada P0^twut = pswhl-x >>: m?^.^) W.
La configuración descifrada contiene direcciones del servidor de comando y control que facilitan el proceso de exfiltración.
Antes de comenzar las operaciones de robo de fotos, el malware establece la comunicación con su infraestructura C2 a través de una solicitud GET al punto final /API /GetIMagestatus, transmitiendo los detalles de la aplicación e información de identificación del usuario.
El servidor responde con una estructura JSON que contiene códigos de autorización que determinan si la carga de fotos debe proceder.
Una vez autorizado, SparkKitty accede sistemáticamente a la galería de fotos del dispositivo, mantiene una base de datos local de imágenes previamente robadas y carga nuevas fotografías en el punto final /API /Putimages utilizando la transmisión de datos de formulario multipart.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
