Con respecto al metodo de ataque, despues de que el codigo malicioso ingresa al telefono del usuario, envia imagenes e informacion del dispositivo desde el telefono infectado al servidor del atacante. Sparkkitty se instala en aplicaciones con contenido relacionado con criptomonedas, juegos de azar, asi como en una version falsa de la aplicacion Tiktok.
Estas aplicaciones se lanzan no solo a traves de App Store y Google Play, sino tambien en sitios web de estafas. Segun el analisis de expertos, el objetivo de esta campaña puede ser la robacion de criptomonedas de usuarios en el sudeste asiatico y China. Los usuarios en Vietnam tambien estan en peligro de enfrentar la misma amenaza.
Los expertos en ciberseguridad de Kaspersky han enviado un aviso a Google y Apple para manejar las aplicaciones toxicas antes mencionadas. Algunos detalles tecnicos muestran que esta nueva campaña de ataque esta relacionada con Sparkcat, un troyano que se descubrio previamente.
SparkCat es el primer codigo malicioso en la plataforma iOS con un modulo de identificacion optica integrado (
En la App Store, este codigo troyano se disfraza de una aplicacion electronica relacionada con la criptomonedas llamada 币 Coin. Ademas, en sitios web fraudulentos diseñados para fingir la interfaz de la tienda de aplicaciones del iPhone, los ciberdelincuentes tambien distribuyen este codigo malicioso bajo la portada de la aplicacion Tiktok y algunos juegos de apuestas.
En el sistema operativo Android, el atacante se dirige a los usuarios tanto en Google Play como a los sitios web de terceros, camuflando el codigo malicioso en forma de servicios relacionados con las criptomonedas.
Uno de los ejemplos de aplicaciones infectadas por veneno es SOEX, una aplicacion de mensajeria que integra la funcion de comercio de criptomonedas, con mas de 10,000 descargas de la tienda oficial.
Ademas, los expertos tambien descubrieron archivos APK (archivos de instalacion de aplicaciones de Android, que se pueden instalar directamente sin ir a Google Play) de estas aplicaciones de malware en un sitio web de terceros, que se cree que esta relacionado con la campaña de ataque mencionada anteriormente.
Estas aplicaciones se promueven en forma de proyectos de inversion de criptomonedas. En particular, los sitios web de aplicaciones tambien se promocionan ampliamente en las redes sociales, incluida YouTube.
Para evitar convertirse en victimas de este malware, los expertos recomiendan a los usuarios que tomen las siguientes medidas de seguridad:
- Si se ha perdido una de las aplicaciones de malware, elimine rapidamente la aplicacion del dispositivo y no la vuelva a usar hasta que la actualizacion oficial este disponible para eliminar por completo las funciones toxicas.
- Evite almacenar capturas de pantalla que contengan informacion confidencial en la biblioteca de fotos, especialmente imagenes con codigos que restauran las criptomonedas. En su lugar, los usuarios pueden almacenar informacion de inicio de sesion en aplicaciones especializadas de administracion de contraseñas.
- Instale un software de seguridad confiable, como, para evitar el riesgo de infeccion maliciosa.
- Cuando la aplicacion requiere acceso a la biblioteca de fotos, los usuarios deben considerar cuidadosamente si este derecho es realmente necesario para la funcion principal de la aplicacion.
