Descubren nuevo software espía dirigido a personas en App Store y Google Play

El 26 de junio, los expertos de Kaspersky anunciaron que habían descubierto un nuevo spyware llamado SparkKitty, diseñado para atacar teléfonos inteligentes que utilizan sistemas operativos iOS y Android, y luego enviar imágenes e información del dispositivo desde los teléfonos infectados al servidor del atacante.

SparkKitty se integró en aplicaciones con contenido relacionado con criptomonedas y juegos de azar, así como en una versión falsa de la aplicación TikTok. Estas aplicaciones se distribuyeron no solo a través de la App Store y Google Play, sino también en sitios web fraudulentos.

Según el análisis de los expertos, el objetivo de esta campaña podría ser robar criptomonedas a usuarios del Sudeste Asiático y China. Los usuarios de Vietnam también corren el riesgo de enfrentarse a amenazas similares.

Kaspersky ha notificado a Google y Apple para que tomen medidas contra las aplicaciones maliciosas. Algunos detalles técnicos sugieren que la nueva campaña está vinculada a SparkCat, un troyano previamente descubierto. SparkCat es el primer malware en la plataforma iOS que incorpora un módulo de reconocimiento óptico de caracteres (OCR) que escanea la biblioteca de fotos del usuario y roba capturas de pantalla que contienen contraseñas o frases de recuperación para monederos de criptomonedas.

Después de SparkCat, esta es la segunda vez este año que los investigadores de Kaspersky descubren un ladrón de troyanos en la App Store.

En la App Store, este malware troyano se disfraza de una aplicación relacionada con criptomonedas llamada 币coin. Además, en sitios web fraudulentos diseñados para imitar la interfaz de la App Store de iPhone, los ciberdelincuentes también distribuyen este malware disfrazado de la aplicación TikTok y algunos juegos de apuestas.

Los sitios web falsos son uno de los canales más populares para la distribución de troyanos, donde los hackers intentan engañar a los usuarios para que visiten e instalen malware en sus iPhones. En iOS, aún existen formas legítimas de instalar aplicaciones desde fuera de la App Store. En esta campaña de ataque, los hackers aprovecharon una herramienta para desarrolladores diseñada para instalar aplicaciones internas en empresas. En la versión infectada de TikTok, en cuanto el usuario inicia sesión, el malware roba fotos de la galería del teléfono e inserta secretamente un enlace extraño en el perfil de la víctima. Lo preocupante es que este enlace lleva a una tienda que solo acepta pagos con criptomonedas, lo que nos preocupa aún más por esta campaña», declaró Sergey Puzan, analista de malware de Kaspersky.

En Android, los atacantes atacaron a usuarios tanto en Google Play como en sitios web de terceros, disfrazando el malware como servicios relacionados con criptomonedas. Un ejemplo de una aplicación infectada es SOEX, una aplicación de mensajería con funcionalidad integrada para el comercio de criptomonedas, con más de 10 000 descargas en su tienda oficial.

Además, los expertos también descubrieron archivos APK (archivos de instalación de aplicaciones de Android, que se pueden instalar directamente sin pasar por Google Play) de estas aplicaciones infectadas con malware en sitios web de terceros, que se cree que están relacionados con la campaña de ataque mencionada anteriormente.

Estas aplicaciones se promocionan bajo la apariencia de proyectos de inversión en criptomonedas. Cabe destacar que los sitios web que las distribuyen también se promocionan ampliamente en redes sociales, como YouTube.

“Una vez instaladas, las aplicaciones funcionan como se describe”, afirmó Dmitry Kalinin, analista de malware de Kaspersky. “Sin embargo, durante la instalación, se infiltran silenciosamente en el dispositivo y envían automáticamente imágenes de la galería de la víctima al atacante. Estas imágenes pueden contener información confidencial que buscan los atacantes, como scripts de recuperación de monederos de criptomonedas, lo que les permite robar los activos digitales de la víctima. Hay indicios indirectos de que los atacantes buscan los activos digitales de los usuarios: muchas de las aplicaciones infectadas están relacionadas con criptomonedas, y la versión infectada de TikTok también incluye una tienda que solo acepta pagos con criptomonedas”.

Para evitar ser víctima de este malware, Kaspersky recomienda a los usuarios que tomen las siguientes medidas de seguridad:

- Si ha instalado accidentalmente una de las aplicaciones infectadas, elimine rápidamente la aplicación de su dispositivo y no la vuelva a utilizar hasta que haya una actualización oficial para eliminar por completo la función maliciosa.

Evite guardar capturas de pantalla con información confidencial en su biblioteca de fotos, especialmente imágenes con códigos de recuperación de billeteras de criptomonedas. En su lugar, los usuarios pueden guardar la información de inicio de sesión en aplicaciones dedicadas a la gestión de contraseñas.

Instale un software de seguridad confiable para prevenir el riesgo de infección por malware. En sistemas operativos iOS con una arquitectura de seguridad específica, la solución de Kaspersky avisará si detecta que el dispositivo transmite datos al servidor de control del hacker y bloqueará esta transmisión.

- Cuando una aplicación solicita acceso a la biblioteca de fotos, los usuarios deben considerar cuidadosamente si este permiso es realmente necesario para la función principal de la aplicación.

Fuente: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp