{"id":1567369,"date":"2025-02-06T13:25:16","date_gmt":"2025-02-06T13:25:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-sparkcat-usa-ocr-para-extraer-frases-de-recuperacion-de-la-billetera-criptografica-de-las-imagenes\/"},"modified":"2025-02-06T13:25:21","modified_gmt":"2025-02-06T13:25:21","slug":"el-malware-sparkcat-usa-ocr-para-extraer-frases-de-recuperacion-de-la-billetera-criptografica-de-las-imagenes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-sparkcat-usa-ocr-para-extraer-frases-de-recuperacion-de-la-billetera-criptografica-de-las-imagenes\/","title":{"rendered":"El malware SparkCat usa OCR para extraer frases de recuperaci\u00f3n de la billetera criptogr\u00e1fica de las im\u00e1genes"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Una nueva campa\u00f1a de malware denominada Sparkcat ha aprovechado un traje de aplicaciones falsas en las respectivas tiendas de aplicaciones de Apple y Google para robar frases mnem\u00f3nicas de las v\u00edctimas asociadas con billeteras de criptomonedas. <\/p>\n

Los ataques aprovechan un modelo de reconocimiento de caracteres \u00f3pticos (OCR) para exfiltrar im\u00e1genes selectas que contienen frases de recuperaci\u00f3n de billetera de bibliotecas de fotos a un servidor de comando y control (C2), los investigadores de Kaspersky Dmitry Kalinin y Sergey Puzan dicho<\/a> en un informe t\u00e9cnico.<\/p>\n

El apodo es una referencia a un Kit de desarrollo de software integrado (SDK) que emplea un componente Java llamado Spark que se disfraza de m\u00f3dulo de an\u00e1lisis. Actualmente no se sabe si la infecci\u00f3n fue el resultado de un ataque de la cadena de suministro o si los desarrolladores lo introdujeron intencionalmente.<\/p>\n

Si bien esta no es la primera vez que el malware de Android con capacidades de OCR se detecta en la naturaleza, es una de las primeras instancias en las que se ha encontrado dicho robador en la App Store de Apple. Se dice que las aplicaciones infectadas en Google Play se descargaron m\u00e1s de 242,000 veces.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Se eval\u00faa que la campa\u00f1a ha estado activa desde marzo de 2024, con las aplicaciones distribuidas a trav\u00e9s de tiendas de aplicaciones oficiales y no oficiales. Las aplicaciones se disfrazan de la inteligencia artificial (IA), la entrega de alimentos y las aplicaciones Web3, aunque algunas de ellas parecen ofrecer una funcionalidad leg\u00edtima.<\/p>\n

“El m\u00f3dulo de malware de Android descifrar\u00eda y iniciar\u00eda un complemento OCR construido con Google’s Biblioteca del kit de ML<\/a>y use eso para reconocer el texto que encontr\u00f3 en las im\u00e1genes dentro de la galer\u00eda “, dijo Kaspersky.” Las im\u00e1genes que coincid\u00edan con las palabras clave recibidas del C2 se enviaron al servidor “.<\/p>\n

En una l\u00ednea similar, la versi\u00f3n iOS de SparkCat se basa en la biblioteca del kit ML de Google para OCR para robar im\u00e1genes que contienen frases mnem\u00f3nicas. Un aspecto notable del malware es su uso de un mecanismo de comunicaci\u00f3n basado en el \u00f3xido para C2, algo rara vez observado en las aplicaciones m\u00f3viles.<\/p>\n

Un an\u00e1lisis adicional de las palabras clave utilizadas y las regiones donde estas aplicaciones estaban disponibles indican que la campa\u00f1a est\u00e1 dirigida principalmente a los usuarios en Europa y Asia. Se eval\u00faa que la actividad maliciosa es el trabajo de un actor de amenaza que habla chino con fluidez.<\/p>\n

“Lo que hace que este troyano sea particularmente peligroso es que no hay indicios de un implante malicioso oculto dentro de la aplicaci\u00f3n”, dijeron los investigadores. “Los permisos que solicita pueden parecer que son necesarios para su funcionalidad central o parecen inofensivos a primera vista”.<\/p>\n

La divulgaci\u00f3n se produce cuando Zimperium Zlabs detall\u00f3 otra campa\u00f1a de malware m\u00f3vil dirigida a los propietarios de dispositivos de Android indios al distribuir archivos APK maliciosos a trav\u00e9s de WhatsApp bajo la apariencia de aplicaciones bancarias y gubernamentales, lo que permite que las aplicaciones cosechen informaci\u00f3n confidencial e informaci\u00f3n financiera.<\/p>\n

La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que ha identificado m\u00e1s de 1,000 aplicaciones falsas vinculadas a la campa\u00f1a, con los atacantes aprovechando aproximadamente 1,000 n\u00fameros de tel\u00e9fono codificados por duros como puntos de exfiltraci\u00f3n para mensajes SMS y contrase\u00f1as \u00fanicas (OTP).<\/p>\n

“A diferencia de los troyanos bancarios convencionales que dependen \u00fanicamente de los servidores de comando y control (C&C) para robo de contrase\u00f1a \u00fanica (OTP), esta campa\u00f1a de malware aprovecha los n\u00fameros de tel\u00e9fono en vivo para redirigir los mensajes de SMS, dejando un rastro digital rastreable para las agencias de aplicaci\u00f3n de la ley Seguimiento de los actores de amenaza detr\u00e1s de esta campa\u00f1a “, el investigador de seguridad Aazim Yaswant dicho<\/a>.<\/p>\n

Se dice que la campa\u00f1a de ataque, llamada FatboyPanel, ha acumulado 2.5 GB de datos confidenciales hasta la fecha, todo lo cual est\u00e1 alojado en puntos finales de Firebase que son accesibles para cualquier persona sin autenticaci\u00f3n.<\/p>\n

Esto incluye mensajes de SMS de bancos indios, datos bancarios, informaci\u00f3n de la tarjeta de cr\u00e9dito y d\u00e9bito, y detalles de identificaci\u00f3n emitidos por el gobierno que pertenecen a unos 50,000 usuarios, la mayor\u00eda de los cuales se encuentran en los estados indios de Bengala Occidental, Bihar, Jharkhand, Karnataka y Madhya Pradesh. <\/p>\n

\"Malware<\/a><\/div>\n

Estos incidentes cuentan una historia de advertencia sobre la importancia de examinar adecuadamente las aplicaciones de c\u00f3digo, incluida la escrutinizaci\u00f3n de las revisiones y verificar la autenticidad de los desarrolladores, antes de descargarlas, incluso si est\u00e1n cargadas en la tienda de aplicaciones oficiales.<\/p>\n

El desarrollo tambi\u00e9n sigue la aparici\u00f3n de 24 nuevas familias de malware<\/a> Dirigido a los sistemas Apple MacOS en 2024, en comparaci\u00f3n con el 21 en 2023, seg\u00fan el investigador de seguridad Patrick Wardle.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Esto coincide con un aumento en los ataques de robador de informaci\u00f3n, como aquellos que involucran a Poseid\u00f3n, Atomic y Cthulhu, que est\u00e1n espec\u00edficamente dirigidos a los usuarios del sistema operativo de escritorio.<\/p>\n

“InfoTenteantes que aprovechan a los macos a menudo explotan al nativo Applecript<\/a> Marco, “Unidad de Palo Alto Networks 42 Investigadores Tom Fakterman, Chen Erlich y Tom Sharon dicho<\/a> En un informe publicado esta semana.<\/p>\n

“Este marco proporciona un amplio acceso al sistema operativo, y tambi\u00e9n simplifica la ejecuci\u00f3n con su sintaxis del lenguaje natural. Dado que estas indicaciones pueden parecerse a las indicaciones leg\u00edtimas del sistema, los actores de amenaza usan este marco para enga\u00f1ar a las v\u00edctimas a trav\u00e9s de la ingenier\u00eda social”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n