SDK encontrado por Kaspersky en algunas personas Aplicaciones de iOS y Android Su objetivo es robar frases de recuperación de las billeteras de criptomonedas a través de ladrones de reconocimiento óptico de caracteres (OCR). El equipo de investigadores detalló lo que está disponible públicamente en Google Play Store, y sabemos que la aplicación se ha descargado más de 242,000 veces. Mientras tanto, en la App Store, las descargas allí son desconocidas.

En Android, se realizan con un componente Java malicioso llamado «chispa» que se hace pasar por el módulo de análisis. Esto utiliza un archivo de configuración cifrado almacenado en GITLAB, que proporciona a la aplicación comandos de acción y actualizaciones. En lo que respecta a iOS, el marco se llama «GZIP», «GoogleAppSDK» o «STAT» y utiliza un módulo de red basado en óxido para comunicarse con los servidores de comando y control.

¿Cómo robar billeteras de contraseña con aplicaciones?

Los investigadores de Kaspersky señalan que los desarrolladores de aplicaciones pueden no participar en actividades fraudulentas y que no son conscientes de la existencia de suites maliciosas. Señalaron en su explicación de que los módulos afectados en diferentes sistemas operativos se realizan con Google ML Kit OCR Extraiga texto de imágenes en el dispositivo. De esta manera, trate de encontrar frases de recuperación que se puedan usar para acceder a la billetera de criptomonedas, aunque la contraseña aún no está clara.

«Los componentes maliciosos cargan diferentes modelos OCR según el lenguaje del sistema Distinguir entre caracteres latinos, coreanos, chinos y japoneses En la imagen », se especifican en la publicación de Kaspersky. Es decir, los caballos troyanos pueden buscar imágenes e investigar posibles palabras clave en diferentes idiomas. El fraudulento en el dispositivo luego carga la información al servidor de comandos y «en respuesta, reciba un objeto que regula las operaciones posteriores del malware».

Aplicaciones afectadas por malware

En general, los investigadores de seguridad de Kaspersky han encontrado 18 aplicaciones infectadas con Android y 10 en iOS. Algunas personas todavía tienen acceso a ello después del sigilo de las compañías de ciberseguridad, pero la tienda Google Play y la App Store se han cerrado a medida que pasa la fecha. Sin embargo, si ya tiene algo instalado en su teléfono, puede estar en riesgo, así que desinstalarlo lo antes posible.

Algunas de las aplicaciones que afecta el SDK son la entrega de alimentos Comecome-Chinese, ChataiWetink, AnyGPT, ATV News Online (Asia TV News), Bintiger Shopping Center, WebSea Exchange, Safe W, Vanity Words, Tonghui PayBank, BS. El más afectado es Catai, que se ha instalado más de 50,000 veces y es una aplicación de inteligencia artificial de ascendencia asiática. La aplicación es una de las primeras en desaparecer de Google Play Store.

En Kaspersky, recomiendan eliminar aplicaciones infectadas sin usarlas más hasta que el creador lanzó parches para eliminar las características maliciosas. Además, sugieren Nunca almacene capturas de pantalla Proporcione información confidencial en la galería, incluidas las frases de recuperación para acceder a las billeteras de criptomonedas o contraseñas. También debe instalar software antivirus en todos los dispositivos para notificarle si se detecta malware.