El malware que lee capturas de pantalla rompe la seguridad del iPhone por primera vez
En el ámbito de los teléfonos inteligentes, se considera que el ecosistema de Apple es el más seguro . Los análisis independientes realizados por expertos en seguridad también lo han demostrado repetidamente a lo largo de los años. Pero las barreras de seguridad de Apple no son impenetrables. Por el contrario, parece que los malos actores han logrado otro avance preocupante.
Según un análisis de Kaspersky , se detectó por primera vez en la App Store malware con capacidades de reconocimiento óptico de caracteres (OCR). En lugar de robar archivos almacenados en un teléfono, el malware escaneaba capturas de pantalla almacenadas localmente, analizaba el contenido del texto y transmitía la información necesaria a los servidores.
La operación de propagación de malware, cuyo nombre en código es “SparkCat”, se centró en aplicaciones generadas desde repositorios oficiales (Play Store de Google y App Store de Apple) y fuentes de terceros. Las aplicaciones infectadas acumularon aproximadamente un cuarto de millón de descargas en ambas plataformas.
Curiosamente, el malware se sumó a la biblioteca ML Kit de Google, un conjunto de herramientas que permite a los desarrolladores implementar capacidades de aprendizaje automático para el procesamiento de datos rápido y fuera de línea en aplicaciones. Este sistema ML Kit es lo que finalmente permitió que el modelo OCR de Google escaneara fotos almacenadas en un iPhone y reconociera el texto que contiene información confidencial.
Pero parece que el malware no sólo era capaz de robar códigos de recuperación relacionados con las criptomonedas . "Cabe señalar que el malware es lo suficientemente flexible como para robar no sólo estas frases sino también otros datos confidenciales de la galería, como mensajes o contraseñas que podrían haber sido capturados en capturas de pantalla", dice el informe de Kaspersky.
Entre las aplicaciones de iPhone objetivo se encontraba ComeCome, que a primera vista parece ser una aplicación de entrega de comida china, pero venía cargada con un malware para leer capturas de pantalla. "Este es el primer caso conocido de una aplicación infectada con software espía OCR que se encuentra en el mercado oficial de aplicaciones de Apple", señala el análisis de Kaspersky.
Sin embargo, no está claro si los desarrolladores de estas aplicaciones problemáticas participaron en la incorporación del malware o si se trató de un ataque a la cadena de suministro. Independientemente del origen, todo el proceso pasó bastante desapercibido ya que las aplicaciones parecían legítimas y se encargaban de tareas como mensajería, aprendizaje de inteligencia artificial o entrega de alimentos. En particular, el malware multiplataforma también era capaz de ocultar su presencia, lo que hacía que fuera más difícil de detectar.
El objetivo principal de esta campaña era extraer frases de recuperación de billeteras criptográficas, que pueden permitir que un mal actor se apodere de la billetera criptográfica de una persona y se salga con la suya. Las zonas objetivo parecen ser Europa y Asia, pero algunas de las aplicaciones incluidas en la lista parecen estar operando también en África y otras regiones.