En el ámbito de los teléfonos inteligentes, el ecosistema de Apple se considera el más seguro. El análisis independiente de los expertos en seguridad también ha demostrado ese punto repetidamente a lo largo de los años. Pero las barandillas de Apple no son impenetrables. Por el contrario, parece que los malos actores han logrado otro avance preocupante.
Según un análisis de Kaspersky, el malware con capacidades de reconocimiento de caracteres ópticos (OCR) se ha visto en la App Store por primera vez. En lugar de robar archivos almacenados en un teléfono, las capturas de pantalla escaneadas de malware almacenadas localmente, analizaron el contenido de texto y transmitieron la información necesaria a los servidores.
La operación de semillas de malware, con nombre en código “SparkCat”, aplicaciones dirigidas a repositorios oficiales, la tienda Play Store de Google y la tienda de aplicaciones de Apple, y fuentes de terceros. Las aplicaciones infectadas acumularon aproximadamente un cuarto de millón de descargas en ambas plataformas.
Kaspersky
Curiosamente, el malware se encogió en la cima de la biblioteca de kits ML de Google, un kit de herramientas que permite a los desarrolladores implementar capacidades de aprendizaje automático para el procesamiento de datos rápido y fuera de línea en las aplicaciones. Este sistema de kits ML es lo que finalmente permitió al modelo Google OCR escanear fotos almacenadas en un iPhone y reconocer el texto que contiene información confidencial.
Habilite JavaScript para ver este contenido
Pero parece que el malware no solo era capaz de robar códigos de recuperación relacionados con criptografía. “Cabe señalar que el malware es lo suficientemente flexible como para robar no solo estas frases, sino también otros datos confidenciales de la galería, como mensajes o contraseñas que podrían haberse capturado en capturas de pantalla”, dice el informe de Kaspersky.
Entre las aplicaciones de iPhone específicas se encontraba Comecome, que parece ser una aplicación de entrega de alimentos chino en la superficie, pero se cargó con un malware de lectura de captura de pantalla. “Este es el primer caso conocido de una aplicación infectada con OCR Spyware que se encuentra en el mercado oficial de aplicaciones de Apple”, señala el análisis de Kaspersky.
Kaspersky
Sin embargo, no está claro si los desarrolladores de estas aplicaciones problemáticas estaban involucradas en incrustar el malware, o si era un ataque de la cadena de suministro. Independientemente del origen, toda la tubería era bastante discreta ya que las aplicaciones parecían legítimas y atendían a tareas como mensajes, aprendizaje de IA o entrega de alimentos. En particular, el malware multiplataforma también fue capaz de ofuscar su presencia, lo que dificultó la detección.
El objetivo principal de esta campaña fue extraer frases de recuperación de la billetera criptográfica, lo que puede permitir que un mal actor se haga cargo de la billetera criptográfica de una persona y se salga con sus activos. Las zonas objetivo parecen ser Europa y Asia, pero algunas de las aplicaciones de la lista más transferencia parecen estar operando en África y otras regiones también.
