En el ámbito de los teléfonos inteligentes, se considera que el ecosistema de Apple es el más seguro. El análisis independiente realizado por expertos en seguridad también ha demostrado ese punto repetidamente a lo largo de los años. Pero las barandillas de Apple no son impenetrables. Por el contrario, parece que los malos actores han logrado otro avance preocupante.
Según un análisis de Kaspersky, se ha detectado por primera vez en la App Store malware con capacidades de reconocimiento óptico de caracteres (OCR). En lugar de robar archivos almacenados en un teléfono, el malware escaneó capturas de pantalla almacenadas localmente, analizó el contenido de texto y transmitió la información necesaria a los servidores.
La operación de propagación de malware, cuyo nombre en código es “SparkCat”, se dirigió a aplicaciones sembradas de repositorios oficiales (Play Store de Google y App Store de Apple) y fuentes de terceros. Las aplicaciones infectadas acumularon aproximadamente un cuarto de millón de descargas en ambas plataformas.
Curiosamente, el malware se coló sobre la biblioteca ML Kit de Google, un conjunto de herramientas que permite a los desarrolladores implementar capacidades de aprendizaje automático para el procesamiento de datos rápido y sin conexión en las aplicaciones. Este sistema ML Kit es lo que finalmente permitió que el modelo OCR de Google escaneara fotos almacenadas en un iPhone y reconociera el texto que contiene información confidencial.
Pero parece que el malware no solo era capaz de robar códigos de recuperación relacionados con las criptomonedas. “Hay que tener en cuenta que el malware es lo suficientemente flexible como para robar no solo estas frases, sino también otros datos confidenciales de la galería, como mensajes o contraseñas que podrían haber sido capturados en capturas de pantalla”, dice el informe de Kaspersky.
Entre las aplicaciones de iPhone atacadas estaba ComeCome, que parece ser una aplicación de entrega de comida china en la superficie, pero venía cargada con un malware de lectura de capturas de pantalla. “Este es el primer caso conocido de una aplicación infectada con spyware OCR que se encuentra en el mercado oficial de aplicaciones de Apple”, señala el análisis de Kaspersky.
Sin embargo, no está claro si los desarrolladores de estas aplicaciones problemáticas se dedicaron a incrustar el malware o si se trató de un ataque a la cadena de suministro. Independientemente del origen, todo el proceso pasó bastante desapercibido, ya que las aplicaciones parecían legítimas y se adaptaban a tareas como la mensajería, el aprendizaje de IA o la entrega de alimentos. En particular, el malware multiplataforma también era capaz de ofuscar su presencia, lo que dificultaba su detección.
El objetivo principal de esta campaña era extraer frases de recuperación de billeteras criptográficas, lo que puede permitir que un mal actor se apodere de la billetera criptográfica de una persona y se salga con la suya con sus activos. Las zonas objetivo parecen ser Europa y Asia, pero algunas de las aplicaciones incluidas en la lista parecen estar operando en África y otras regiones también.
