Programari maliciós SparkCat
Una campanya d'amenaces descoberta recentment, anomenada SparkCat, s'ha infiltrat tant a l'App Store d'Apple com a Google Play mitjançant aplicacions enganyoses dissenyades per recollir frases de recuperació de carteres de criptomoneda. Aquestes aplicacions, disfressades de serveis legítims, extreuen en secret frases mnemotècniques dels dispositius de les víctimes, posant en risc els actius digitals.
Taula de continguts
Aprofitant l’OCR per recollir frases de recuperació de cartera
SparkCat aprofita un model avançat de reconeixement òptic de caràcters (OCR) per escanejar les biblioteques de fotos dels usuaris a la recerca d'imatges que contenen frases de recuperació de la cartera. Un cop detectades, aquestes imatges sensibles s'exfiltraran a un servidor de comandament i control (C2) remot. La campanya porta el nom d'un kit de desenvolupament de programari incrustat (SDK) que inclou un component Java anomenat Spark, que es fa passar per un mòdul d'anàlisi. Encara no està clar si aquesta infiltració va ser el resultat d'un atac a la cadena de subministrament o si va ser introduïda deliberadament pels desenvolupadors.
Entrant a l’App Store d’Apple
Tot i que les amenaces d'Android amb capacitats OCR han aparegut abans, SparkCat representa una de les primeres instàncies d'aquest atac a l'App Store d'Apple. A Google Play, les aplicacions compromeses es van baixar més de 242.000 vegades abans de ser eliminades d'ambdues plataformes el 7 de febrer de 2025.
Una operació multiplataforma
L'evidència suggereix que SparkCat està actiu des del març de 2024. Les seves aplicacions insegures es distribueixen tant a través de botigues d'aplicacions oficials com de tercers. Les aplicacions fraudulentes suplanten les eines d'IA, els serveis de lliurament d'aliments i les plataformes Web3, amb algunes fins i tot proporcionant una funcionalitat aparentment legítima per evitar sospites.
Com SparkCat recull dades
Als dispositius Android, el programari maliciós desxifra i activa un connector OCR impulsat per la biblioteca ML Kit de Google. Explora galeries d'imatges per trobar text que coincideixi amb paraules clau predefinides del seu servidor C2. Totes les imatges marcades es transmeten als atacants.
La variant iOS de SparkCat utilitza el mecanisme OCR exacte basat en ML Kit per identificar i extreure informació sensible. De manera única, aquesta versió també utilitza un marc de comunicació basat en Rust per interactuar amb el seu servidor C2, una tàctica poc comuna en les amenaces mòbils.
Qui hi ha darrere de l’atac?
L'anàlisi de les paraules clau utilitzades i dels patrons de distribució suggereix que SparkCat s'adreça principalment als usuaris d'Europa i Àsia. L'evidència apunta a actors d'amenaça amb fluïdesa en xinès, tot i que encara es desconeix la seva identitat exacta.
Un troià furtiu disfressat
El que fa que SparkCat sigui especialment enganyós és la seva capacitat de funcionar sense aixecar banderes vermelles. Els permisos que demana semblen necessaris per a les funcions anunciades de l'aplicació o innòcus, la qual cosa li permet integrar-se sense provocar sospita. Aquest enfocament sigilós fa que sigui més difícil que els usuaris reconeguin l'amenaça abans que les seves carteres de criptomoneda es vegin compromeses.
