En una investigación reciente, expertos en ciberseguridad han descubierto más de 280 aplicaciones fraudulentas diseñadas para dispositivos Android que incluyen un peligroso 'malware' capaz de realizar reconocimiento óptico de caracteres (OCR) para robar contraseñas de billeteras digitales que guardan criptomonedas.

El OCR es una tecnología que convierte diferentes tipos de documentos, como imágenes, en texto. Este proceso transforma las imágenes en cadenas de caracteres que pueden ser interpretadas por computadoras y otros dispositivos electrónicos.

El equipo de expertos de McAfee, conocida firma de investigación en dispositivos móviles, ha revelado la existencia de un nuevo tipo de 'malware' que roba las credenciales de criptomonedas a través del OCR de los dispositivos que las almacenan.

Estas billeteras digitales utilizan claves nemotécnicas, frases de doce palabras que permiten recuperar las criptomonedas y que los usuarios suelen guardar en capturas de pantalla por si las necesitan en el futuro.

Los ciberdelincuentes han desarrollado más de 280 aplicaciones fraudulentas que contienen el 'malware' SpuAgent, el cual puede obtener esas credenciales a través del OCR de manera fraudulenta.

Estas aplicaciones se promocionan a través de campañas de 'phishing' en redes sociales, donde los delincuentes se hacen pasar por entidades confiables y envían enlaces maliciosos. Estos llevan a sitios falsos que solicitan la descarga de archivos APK con el dañino 'malware' incorporado.

Una vez se descarga la aplicación, pide una serie de permisos que, en realidad, dan acceso a información privada como mensajes, contactos o imágenes, permitiendo que el 'malware' funcione en segundo plano y se ejecute.

El 'malware' puede acceder a la galería del dispositivo en busca de la captura de pantalla con la clave nemotécnica y usar el OCR para obtener acceso a la billetera de criptomonedas instalada en el dispositivo.

Este software malicioso actúa como un agente que recibe instrucciones de un servidor remoto, lo que podría permitir que el dispositivo infectado sea utilizado para distribuir más campañas de 'phishing'.

Los ataques se han centrado inicialmente en dispositivos móviles en Corea, con los primeros indicios de presencia desde enero de 2024, aunque se están tomando medidas para evitar su expansión y neutralizarlo.

A pesar de que en un principio este 'malware' se hacía pasar por aplicaciones de préstamos o servicios gubernamentales, ha evolucionado para aprovecharse de las emociones personales, incluyendo la imitación de esquelas virtuales.

A pesar de no estar muy extendido, el impacto de este 'malware' se intensifica al acceder a la agenda de contactos del dispositivo y enviar mensajes SMS engañosos. Se sospecha que los ciberdelincuentes podrían estar planeando expandir el ataque a dispositivos iOS en un futuro próximo.