Complementos maliciosos para aplicaciones leg\u00edtimas<\/h2>\n
Las aplicaciones que contienen componentes maliciosos de SparkCat se dividen en dos categor\u00edas. Algunas de ellas, como numerosos servicios de mensajer\u00eda instant\u00e1nea similares del mismo desarrollador que afirman tener funciones de IA, fueron claramente dise\u00f1adas como cebo. Otras son aplicaciones leg\u00edtimas: servicios de entrega de alimentos, lectores de noticias y utilidades de carteras criptogr\u00e1ficas. Todav\u00eda no sabemos c\u00f3mo la funcionalidad del troyano logr\u00f3 introducirse en estas aplicaciones. Pudo haber sido el resultado de un ataque a la cadena de suministro<\/a>, donde se infect\u00f3 un componente de terceros utilizado en la aplicaci\u00f3n. Alternativamente, es posible que los desarrolladores hayan incorporado deliberadamente el troyano en sus aplicaciones.<\/p>\n La primera aplicaci\u00f3n en la que detectamos SparkCat fue un servicio de entrega de comida llamado ComeCome, disponible en los Emiratos \u00c1rabes Unidos e Indonesia. La aplicaci\u00f3n infectada se encontr\u00f3 tanto en Google Play como en App Store<\/p><\/div>\n El ladr\u00f3n analiza las fotograf\u00edas de la galer\u00eda del tel\u00e9fono inteligente, y para ello, es necesario que todas las aplicaciones infectadas soliciten permiso para acceder a las im\u00e1genes. En muchos casos, esta solicitud parece completamente leg\u00edtima: por ejemplo, la aplicaci\u00f3n de entrega de comida ComeCome solicit\u00f3 acceso a un chat de atenci\u00f3n al cliente justo al abrir el chat, lo que parec\u00eda completamente natural. Otras aplicaciones solicitan acceso a la galer\u00eda al iniciar su funcionalidad principal, lo que parece inofensivo. Despu\u00e9s de todo, quieres poder compartir fotograf\u00edas en un servicio de mensajer\u00eda instant\u00e1nea, \u00bfverdad?<\/p>\n Sin embargo, tan pronto como el usuario concede acceso a fotograf\u00edas espec\u00edficas o a la galer\u00eda completa, el malware comienza a revisar todas las fotos a su alcance en busca de algo valioso.<\/p>\n Para encontrar datos de carteras criptogr\u00e1ficas entre fotograf\u00edas de gatos y puestas de sol, el troyano tiene un m\u00f3dulo de reconocimiento \u00f3ptico de caracteres (OCR) incorporado sobre la base de Google ML Kit, una biblioteca universal de aprendizaje autom\u00e1tico.<\/p>\n Dependiendo de la configuraci\u00f3n de idioma del dispositivo, SparkCat descarga modelos entrenados para detectar el alfabeto relevante en las fotograf\u00edas, ya sea latino, coreano, chino o japon\u00e9s. Despu\u00e9s de reconocer el texto en una imagen, el troyano lo compara con un conjunto de reglas cargadas desde su servidor de comando y control. Adem\u00e1s de las palabras clave de la lista (por ejemplo, \u201cmnemot\u00e9cnica\u201d), el filtro puede activarse mediante patrones espec\u00edficos, como combinaciones de letras sin sentido en c\u00f3digos de respaldo o ciertas secuencias de palabras en frases de seguridad.<\/p>\n Durante nuestro an\u00e1lisis, solicitamos una lista de palabras clave utilizadas para la b\u00fasqueda con OCR de los servidores C2 del troyano. Los ciberdelincuentes est\u00e1n claramente interesados en las frases utilizadas para recuperar el acceso a las carteras de criptomonedas, conocidas como mnemot\u00e9cnicas<\/p><\/div>\n El troyano carga todas las fotograf\u00edas que contienen texto potencialmente valioso en los servidores de los atacantes, junto con informaci\u00f3n detallada sobre el texto reconocido y el dispositivo del que fue robada la imagen.<\/p>\n Identificamos 10 aplicaciones maliciosas en Google Play y 11 en App Store. En el momento de la publicaci\u00f3n, todas las aplicaciones maliciosas hab\u00edan sido eliminadas de las tiendas. Solo en Google Play, se registraron m\u00e1s de 242\u00a0000 descargas totales en el momento del an\u00e1lisis y nuestros datos de telemetr\u00eda sugieren que aquel malware tambi\u00e9n estaba disponible en otros sitios y tiendas de aplicaciones no oficiales.<\/p>\n Entre las aplicaciones infectadas, se encuentran servicios de entrega populares y servicios de mensajer\u00eda instant\u00e1nea impulsados por IA tanto en Google Play como en App Store<\/p><\/div>\n A juzgar por los diccionarios de SparkCat, est\u00e1 \u201centrenado\u201d para robar datos de usuarios en muchos pa\u00edses europeos y asi\u00e1ticos, y la evidencia indica que los ataques han estado en curso desde, al menos, marzo de 2024. Es probable que los autores de este malware hablen chino con fluidez. Encontrar\u00e1s m\u00e1s detalles sobre este tema, as\u00ed como sobre los aspectos t\u00e9cnicos de SparkCat, en el informe completo en Securelist<\/a>.<\/p>\n Lamentablemente, el viejo consejo de \u201csolo descargar aplicaciones con altas calificaciones de las tiendas de aplicaciones oficiales\u201d ya no es una soluci\u00f3n milagrosa: incluso App Store ha sido infiltrada por un verdadero ladr\u00f3n de informaci\u00f3n y han ocurrido incidentes similares en repetidas ocasiones<\/a> en Google Play. Por lo tanto, los criterios deben ser m\u00e1s estrictos: descarga \u00fanicamente aplicaciones con altas calificaciones y con miles, o mejor a\u00fan, millones de descargas, publicadas al menos varios meses atr\u00e1s. Adem\u00e1s, verifica los enlaces de las aplicaciones en fuentes oficiales (como el sitio web de los desarrolladores) para asegurarte de que no sean falsos, y lee las rese\u00f1as, especialmente las negativas. Y, por supuesto, aseg\u00farate de instalar un sistema de seguridad integral<\/a>\u00a0en todos tus tel\u00e9fonos inteligentes y ordenadores.<\/p>\n Ver rese\u00f1as negativas de la aplicaci\u00f3n ComeCome en App Store podr\u00eda haber disuadido a los usuarios de descargarla<\/p><\/div>\n Tambi\u00e9n debes tener mucho cuidado<\/a> al otorgar permisos a nuevas aplicaciones. Anteriormente, esto era principalmente una preocupaci\u00f3n para la configuraci\u00f3n de \u201cAccesibilidad\u201d, pero ahora vemos que incluso otorgar acceso a la galer\u00eda puede facilitar el robo de datos personales. Si no est\u00e1s completamente seguro de la legitimidad de una aplicaci\u00f3n (por ejemplo, no es un servicio de mensajer\u00eda instant\u00e1nea oficial, sino una versi\u00f3n modificada), no le concedas acceso completo a todas tus fotograf\u00edas y v\u00eddeos. Concede acceso solo a fotograf\u00edas espec\u00edficas cuando sea necesario.<\/p>\n Almacenar documentos, contrase\u00f1as, datos bancarios o fotograf\u00edas de frases de seguridad en la galer\u00eda de tu tel\u00e9fono inteligente es sumamente inseguro: adem\u00e1s de los ladrones como SparkCat, tambi\u00e9n existe siempre el riesgo de que alguien mire las fotograf\u00edas o que las cargues accidentalmente en un servicio de mensajer\u00eda instant\u00e1nea o de intercambio de archivos. Esta informaci\u00f3n debe almacenarse en una aplicaci\u00f3n exclusiva. Por ejemplo, Kaspersky Password Manager<\/a> te permite almacenar y sincronizar de forma segura no solo contrase\u00f1as y tokens de autenticaci\u00f3n de dos factores, sino tambi\u00e9n detalles de tarjetas bancarias y documentos escaneados en todos tus dispositivos, todo en formato cifrado. Por cierto, esta aplicaci\u00f3n estar\u00e1 incluida si te suscribes a Kaspersky Plus<\/a> y Kaspersky Premium<\/a>.<\/p>\n![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/13230331\/ios-android-ocr-stealer-sparkcat-01.png\")
<\/a>Robo impulsado por IA<\/h2>\n
![\"Palabras](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/13231118\/ios-android-ocr-stealer-sparkcat-02.png\")
<\/a>Escala y v\u00edctimas del ataque<\/h2>\n
![\"Aplicaciones](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/13232407\/ios-android-ocr-stealer-sparkcat-03.png\")
<\/a>C\u00f3mo protegerte de los troyanos que usan OCR<\/h2>\n
![\"Rese\u00f1a](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/13233646\/ios-android-ocr-stealer-sparkcat-04.png\")
<\/a>