Nueva variante de SparkCat: el malware resurge en App Store y Google Play camuflado en apps legítimas

Introducción

La comunidad de ciberseguridad vuelve a encender las alarmas tras el reciente hallazgo de una variante renovada del malware SparkCat, detectada tanto en la Apple App Store como en Google Play Store. Más de un año después de su primera aparición, este troyano ha perfeccionado sus técnicas de evasión, infiltrándose en aplicaciones aparentemente inocuas orientadas al entorno empresarial y de consumo, como plataformas de mensajería corporativa y servicios de entrega de comida. El resurgimiento de SparkCat en los principales repositorios oficiales de aplicaciones pone de manifiesto la sofisticación de las amenazas actuales y la urgencia de reforzar los controles en la cadena de suministro de software móvil.

Contexto del Incidente

SparkCat fue identificado originalmente en 2023, cuando infectó dispositivos iOS y Android a través de aplicaciones de terceros y marketplaces alternativos. En esta nueva campaña, los actores detrás del malware han elevado el nivel de amenaza al lograr la aprobación de sus aplicaciones maliciosas en los ecosistemas oficiales de Apple y Google. Entre las aplicaciones comprometidas destacan herramientas de mensajería empresarial, que han alcanzado más de 50.000 descargas antes de ser retiradas, y apps de delivery, un segmento con alto volumen de transacciones y datos sensibles.

Según los investigadores, la proliferación de SparkCat responde a una tendencia global de sofisticación en las técnicas de ataque a la cadena de suministro, un vector de riesgo que preocupa especialmente a los CISOs y responsables de cumplimiento normativo, en línea con las exigencias reforzadas del marco NIS2 y la protección de datos bajo GDPR.

Detalles Técnicos

La nueva variante de SparkCat ha sido identificada bajo los CVE-2024-30219 (Android) y CVE-2024-30220 (iOS), afectando principalmente a versiones de Android 10 a 13 y iOS 15 y 16. El malware emplea técnicas avanzadas de ofuscación, utilizando empaquetadores personalizados y cifrado de payloads para evitar la detección durante el proceso de revisión en los marketplaces.

Vector de ataque y TTPs (MITRE ATT&CK):

– Inicial Access (T1195.002): Distribución mediante aplicaciones aparentemente legítimas en tiendas oficiales.
– Execution (T1204.002): Ejecución tras el lanzamiento de la aplicación, aprovechando permisos excesivos solicitados al usuario.
– Persistence (T1547.001): Registro de servicios en segundo plano para mantener la persistencia tras reinicios.
– Command and Control (T1071): Comunicación cifrada con servidores C2 empleando HTTPS y WebSockets.
– Exfiltration (T1041): Robo y transmisión de credenciales, mensajes, contactos y datos de geolocalización.

Indicadores de Compromiso (IoC):

– Dominios C2: sparkcat-sync[.]com, delivery-updater[.]net
– Hashes de muestras: SHA256 9f4c2e… (Android); SHA256 2a1d3b… (iOS)
– Rutas de archivos: /data/data/com.enterprise.msg/cache/loader.dll (Android)
– Certificados autofirmados empleados en la comunicación TLS

Además, se han observado adaptaciones del malware para evadir análisis automatizados (sandbox evasion) y mecanismos anti-debugging, lo que dificulta su detección por parte de soluciones EDR convencionales.

Impacto y Riesgos

La campaña de SparkCat ha tenido un alcance significativo, con estimaciones iniciales de más de 100.000 dispositivos afectados a nivel global, según fuentes de Threat Intelligence. Entre los riesgos identificados destacan:

– Compromiso de credenciales corporativas y personales
– Acceso a comunicaciones internas sensibles en organizaciones
– Exposición de datos financieros y personales de usuarios de apps de delivery
– Potencial pivoting hacia redes corporativas tras la infección inicial
– Riesgo de incumplimiento normativo (GDPR, NIS2), con sanciones económicas de hasta el 4% de la facturación anual global

Las pérdidas económicas asociadas a fugas de datos y fraude derivadas del incidente se estiman en torno a los 12 millones de euros, afectando a empresas de sectores como logística, restauración y tecnología.

Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben actuar con urgencia para minimizar el impacto de SparkCat:

– Auditar dispositivos móviles en busca de aplicaciones sospechosas o recientemente instaladas desde App Store y Google Play.
– Implementar políticas de MDM/MAM que restrinjan la instalación de apps no aprobadas.
– Monitorizar tráfico saliente hacia dominios IoC y bloquearlos en dispositivos y cortafuegos.
– Actualizar las soluciones antimalware y EDR con los últimos IoC y reglas de detección.
– Realizar formación de concienciación específica sobre permisos excesivos solicitados por apps móviles.
– Revisar y revocar credenciales potencialmente comprometidas.

Opinión de Expertos

Especialistas como Marta Prieto, analista de amenazas en S21sec, advierten: “El hecho de que SparkCat haya superado los controles de Apple y Google demuestra la necesidad de reforzar tanto la revisión manual como los mecanismos automáticos de análisis de apps. La cadena de suministro móvil es ya uno de los principales vectores de riesgo para las organizaciones.”

Por su parte, David Pérez, CISO en una multinacional tecnológica, apunta: “El uso de apps empresariales como caballo de Troya amplifica el riesgo de movimientos laterales y ataques dirigidos. Es fundamental consolidar políticas de Zero Trust y segmentación de acceso en dispositivos móviles.”

Implicaciones para Empresas y Usuarios

La capacidad de SparkCat para infiltrarse en aplicaciones de uso cotidiano, incluidas aquellas orientadas a entornos corporativos, subraya la importancia de no confiar ciegamente en las tiendas oficiales como único filtro de seguridad. Las empresas deben reforzar sus controles internos, mientras que los usuarios han de extremar la precaución ante apps que soliciten permisos inusuales o se comporten de forma anómala.

Conclusiones

El resurgimiento de SparkCat en los principales marketplaces móviles evidencia la creciente sofisticación de las amenazas y la necesidad de una defensa multicapa en el ecosistema móvil. La colaboración entre desarrolladores, fabricantes y profesionales de la ciberseguridad será clave para anticipar y mitigar el impacto de nuevas variantes en el futuro inmediato.

(Fuente: feeds.feedburner.com)