Una campaña de spyware notablemente elaborada apodada SparkKitty ha estado infectando a un número cada vez mayor de usuarios de Android e iOS. Detectada por primera vez el año pasado como parte de la campaña SparkCat, SparkKitty se ha convertido en una operación de vigilancia generalizada.
El malware SparkKitty se ha distribuido a través de aplicaciones en fuentes oficiales y no oficiales desde al menos febrero de 2024, aprovechando la confianza de los usuarios en las tiendas de aplicaciones (o en nefastas ubicaciones no oficiales) para robar archivos multimedia privados. SparkKitty utiliza diversas técnicas para infectar los dispositivos, y está diseñado para adaptarse bajo el radar, lo que dificulta su detección y erradicación.
Aunque no se dirige directamente a los monederos de criptomonedas, los investigadores creen que su objetivo son las capturas de pantalla de semillas de recuperación de monederos. La inclusión de tiendas de aplicaciones exclusivas de criptomonedas en las aplicaciones troyanizadas sugiere una motivación financiera para la campaña de SparkKitty. Los objetivos de SparkCat eran más claros, ya que se centraba en los monederos de criptomonedas en particular, pero SparkKitty oculta sus intenciones junto con sus objetivos en expansión.
Los investigadores observaron algunos factores que relacionan el malware con el fraude de criptomonedas y la antigua infraestructura de SparkCat. También creen que los usuarios que optan por guardar su frase semilla como una imagen en realidad no están a salvo, ya que estas imágenes ahora están siendo activamente acechadas por el malware.
Cómo funciona SparkKitty
La variante de iOS se entrega en forma de una biblioteca disfrazada, actuando como un framework popular de iOS, como AFNetworking o Alamofire. Algunas versiones de SparkKitty para iOS llegan incluso a hacerse pasar por una variante ofuscada de las bibliotecas legítimas de Apple, como libswiftDarwin.dylib, para evitar la detección basada en firmas.
El malware utiliza un perfil de aprovisionamiento de Apple Enterprise en lugar de los métodos estándar de instalación de aplicaciones iOS y los certificados asociados. Las víctimas ni siquiera tienen que visitar la App Store para instalar la aplicación afectada por el malware, gracias a los perfiles de aprovisionamiento de Apple Enterprise.
Se observó que SparkKitty utilizaba las herramientas de instalación de aplicaciones de Apple destinadas al uso interno de las empresas para eludir el escrutinio de la App Store. Los desarrolladores del mercado gris y los autores de malware suelen abusar del aprovisionamiento para empresas. El abuso de este tipo de perfiles de aprovisionamiento en iOS demuestra lo enrevesado y expandido que se ha vuelto el ecosistema de distribución de malware.
En iOS, una aplicación TikTok afectada solicita acceso a la galería cada vez que el usuario inicia la aplicación. La variante maliciosa de TikTok para iOS sube todas las imágenes de la galería a los servidores controlados por el atacante, y solo puedes imaginar el posible botín que permite ese acceso.
SparkKitty, un malware para iOS, utiliza el hook +load de Objective-C para ejecutar su código malicioso durante el arranque del programa. Si el usuario ha concedido permiso en iOS, el malware observa la carpeta de la galería en busca de cambios. Cualquier imagen nueva que no haya sido cargada previamente es exfiltrada del dispositivo. Eso es determinación.
Ahora, en Android, SparkKitty fue descubierto tanto en implementaciones Java como Kotlin, siendo la versión Kotlin un módulo Xposed ofuscado.
SparkKitty se activa durante el inicio de la aplicación o cuando los usuarios acceden a determinadas pantallas, y la implementación de Android también analiza un archivo remoto cifrado AES-256 con codificación base64 para obtener el servidor C2. También carga fotos con sus metadatos y otra información identificativa del dispositivo. Algunas de las implementaciones de Android incluso incluyen ML Kit OCR para detectar y cargar únicamente archivos de imagen que contengan texto.
Cómo se descubrió SparkKitty
Portales de descarga falsos, tiendas de terceros como TikToki Mall e incluso clones de TikTok troyanizados son posibles puntos de distribución de estas infecciones. Los investigadores tuvieron conocimiento de SparkKitty por primera vez tras investigar los enlaces detrás de algunos clones de TikTok infectados encontrados en la App Store oficial.
SOEX, una aplicación de mensajería infectada con funciones de intercambio, se había descargado más de 10.000 veces desde Play Store. Y se descubrió que los clones maliciosos de TikTok habían recurrido a falsas tiendas de criptomonedas y contenidos para adultos con el fin de atraer a los usuarios.
Las aplicaciones relacionadas con SparkKitty en iOS también incluyen juegos de azar en chino y mods de TikTok. Algunas de estas aplicaciones infectadas consiguieron decenas de miles de descargas antes de ser eliminadas de Google Play. La presencia de tiendas oficiales es un testimonio de los crecientes conocimientos técnicos y la tenacidad de los actores de amenazas móviles, y su ejecución es tenaz y sorprendentemente eficaz.
Es sólo una de las últimas amenazas móviles que deberían "despertar" un mayor énfasis en la diligencia de los dispositivos móviles.
Comentario
SparkKitty: Una amenaza silenciosa en las aplicaciones "de confianza
Índice
Una campaña de spyware notablemente elaborada apodada SparkKitty ha estado infectando a un número cada vez mayor de usuarios de Android e iOS. Detectada por primera vez el año pasado como parte de la campaña SparkCat, SparkKitty se ha convertido en una operación de vigilancia generalizada.
El malware SparkKitty se ha distribuido a través de aplicaciones en fuentes oficiales y no oficiales desde al menos febrero de 2024, aprovechando la confianza de los usuarios en las tiendas de aplicaciones (o en nefastas ubicaciones no oficiales) para robar archivos multimedia privados. SparkKitty utiliza diversas técnicas para infectar los dispositivos, y está diseñado para adaptarse bajo el radar, lo que dificulta su detección y erradicación.
Aunque no se dirige directamente a los monederos de criptomonedas, los investigadores creen que su objetivo son las capturas de pantalla de semillas de recuperación de monederos. La inclusión de tiendas de aplicaciones exclusivas de criptomonedas en las aplicaciones troyanizadas sugiere una motivación financiera para la campaña de SparkKitty. Los objetivos de SparkCat eran más claros, ya que se centraba en los monederos de criptomonedas en particular, pero SparkKitty oculta sus intenciones junto con sus objetivos en expansión.
Los investigadores observaron algunos factores que relacionan el malware con el fraude de criptomonedas y la antigua infraestructura de SparkCat. También creen que los usuarios que optan por guardar su frase semilla como una imagen en realidad no están a salvo, ya que estas imágenes ahora están siendo activamente acechadas por el malware.
Cómo funciona SparkKitty
La variante de iOS se entrega en forma de una biblioteca disfrazada, actuando como un framework popular de iOS, como AFNetworking o Alamofire. Algunas versiones de SparkKitty para iOS llegan incluso a hacerse pasar por una variante ofuscada de las bibliotecas legítimas de Apple, como libswiftDarwin.dylib, para evitar la detección basada en firmas.
El malware utiliza un perfil de aprovisionamiento de Apple Enterprise en lugar de los métodos estándar de instalación de aplicaciones iOS y los certificados asociados. Las víctimas ni siquiera tienen que visitar la App Store para instalar la aplicación afectada por el malware, gracias a los perfiles de aprovisionamiento de Apple Enterprise.
Se observó que SparkKitty utilizaba las herramientas de instalación de aplicaciones de Apple destinadas al uso interno de las empresas para eludir el escrutinio de la App Store. Los desarrolladores del mercado gris y los autores de malware suelen abusar del aprovisionamiento para empresas. El abuso de este tipo de perfiles de aprovisionamiento en iOS demuestra lo enrevesado y expandido que se ha vuelto el ecosistema de distribución de malware.
En iOS, una aplicación TikTok afectada solicita acceso a la galería cada vez que el usuario inicia la aplicación. La variante maliciosa de TikTok para iOS sube todas las imágenes de la galería a los servidores controlados por el atacante, y solo puedes imaginar el posible botín que permite ese acceso.
SparkKitty, un malware para iOS, utiliza el hook +load de Objective-C para ejecutar su código malicioso durante el arranque del programa. Si el usuario ha concedido permiso en iOS, el malware observa la carpeta de la galería en busca de cambios. Cualquier imagen nueva que no haya sido cargada previamente es exfiltrada del dispositivo. Eso es determinación.
Ahora, en Android, SparkKitty fue descubierto tanto en implementaciones Java como Kotlin, siendo la versión Kotlin un módulo Xposed ofuscado.
SparkKitty se activa durante el inicio de la aplicación o cuando los usuarios acceden a determinadas pantallas, y la implementación de Android también analiza un archivo remoto cifrado AES-256 con codificación base64 para obtener el servidor C2. También carga fotos con sus metadatos y otra información identificativa del dispositivo. Algunas de las implementaciones de Android incluso incluyen ML Kit OCR para detectar y cargar únicamente archivos de imagen que contengan texto.
Cómo se descubrió SparkKitty
Portales de descarga falsos, tiendas de terceros como TikToki Mall e incluso clones de TikTok troyanizados son posibles puntos de distribución de estas infecciones. Los investigadores tuvieron conocimiento de SparkKitty por primera vez tras investigar los enlaces detrás de algunos clones de TikTok infectados encontrados en la App Store oficial.
SOEX, una aplicación de mensajería infectada con funciones de intercambio, se había descargado más de 10.000 veces desde Play Store. Y se descubrió que los clones maliciosos de TikTok habían recurrido a falsas tiendas de criptomonedas y contenidos para adultos con el fin de atraer a los usuarios.
Las aplicaciones relacionadas con SparkKitty en iOS también incluyen juegos de azar en chino y mods de TikTok. Algunas de estas aplicaciones infectadas consiguieron decenas de miles de descargas antes de ser eliminadas de Google Play. La presencia de tiendas oficiales es un testimonio de los crecientes conocimientos técnicos y la tenacidad de los actores de amenazas móviles, y su ejecución es tenaz y sorprendentemente eficaz.
Es sólo una de las últimas amenazas móviles que deberían "despertar" un mayor énfasis en la diligencia de los dispositivos móviles.
Proteja su mundo digital
Escrito por
Jon Samsel
Responsable de Negocio de Ciberseguridad y Marketing Global
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 22: Copybara, Crocodilus, Lucid y más
La brecha en WestJet demuestra por qué el tiempo de inactividad es un asesino empresarial
El libro de jugadas digital de Darcula: La estafa global que está redefiniendo las amenazas móviles
Pocket Wars: defensas móviles bajo asedio asimétrico