- Un troyano denominado SparkKitty ha infectado apps de la App Store y Google Play.
- El malware roba fotos, datos técnicos y frases de recuperación de criptomonedas.
- SparkKitty afecta tanto a iOS como a Android, oculto en apps de apuestas y cripto.
- Kaspersky comparte consejos para protegerse de la amenaza en dispositivos móviles.
La confianza en la seguridad de la App Store se ha visto sacudida por la aparición de un nuevo troyano denominado SparkKitty. Este programa malicioso ha conseguido infiltrarse en aplicaciones distribuidas tanto en la plataforma de Apple como en Google Play, así como en páginas fraudulentas que imitan las tiendas oficiales. El principal objetivo del malware es robar fotos y frases de recuperación de criptomonedas almacenadas en los dispositivos móviles afectados, una amenaza que pone en jaque a los usuarios de iOS y Android.
Según los investigadores de Kaspersky, quienes han sacado a la luz este caso, SparkKitty se ha encontrado oculto en apps relacionadas con apuestas, monedas digitales y versiones modificadas de TikTok. Algunas de ellas lograron superar los controles de las tiendas oficiales, lo que demuestra la sofisticación del ataque y la capacidad de los ciberdelincuentes para abusar de mecanismos legales como los certificados empresariales y perfiles de aprovisionamiento en iOS.
Un troyano con intereses en criptomonedas y más allá
El principal objetivo de SparkKitty es conseguir datos sensibles de las víctimas, entre ellos imágenes almacenadas en la galería, que puedan contener información crítica como frases semilla o contraseñas de billeteras digitales. Técnicamente, los atacantes utilizan el acceso a la galería de fotos para enviar estas imágenes a servidores remotos. Su interés en los activos digitales es claro, ya que la mayoría de las apps infectadas están relacionadas con criptomonedas o apuestas.
El hallazgo de SparkKitty sugiere una posible evolución del troyano SparkCat, detectado anteriormente por Kaspersky y conocido por incorporar tecnología OCR (reconocimiento óptico de caracteres). Esta funcionalidad permitía identificar textos valiosos dentro de las fotos, como contraseñas o frases de recuperación de wallets cripto, y convertirlas en blancos fáciles para los delincuentes.
Apps infectadas en App Store y Google Play
En el caso de iOS, SparkKitty fue distribuido en la App Store disfrazado como una supuesta aplicación de cripto llamada 币coin, además de en páginas falsas que simulaban ser la tienda oficial. Los ciberdelincuentes aprovecharon certificados empresariales, habituales en entornos corporativos, para instalar apps maliciosas fuera del circuito tradicional de revisión de Apple. Versiones alteradas de TikTok con funciones extra y acceso a la galería de fotos servían como anzuelo, permitiendo al malware robar imágenes y agregar enlaces a tiendas que solo aceptaban pagos en criptomonedas.
En Android, la estrategia fue similar pero más extendida. SparkKitty apareció en aplicaciones que prometían servicios de mensajería o plataformas de inversión, como SOEX, con más de 10.000 descargas desde Google Play. Además, se detectaron archivos APK (instaladores de apps) en sitios de terceros promocionados en redes sociales como YouTube, lo que aumentó el riesgo de infección y amplió el alcance del ataque.
Funcionamiento y alcance del ataque
Una vez instalada la app infectada, SparkKitty solicita acceso a la galería de imágenes y opera en segundo plano, enviando fotos y datos técnicos del dispositivo directamente a los atacantes. Esta operación pasa desapercibida para el usuario, ya que las aplicaciones afectadas suelen funcionar aparentemente de forma normal.
La combinación de técnicas de ingeniería social, suplantación de tiendas y abuso de certificados legítimos lo convierte en uno de los incidentes de malware más preocupantes detectados en plataformas móviles en los últimos años. La detección de SparkKitty indica una segunda aparición en el año de un troyano activo dentro de la propia App Store, lo que ha suscitado interrogantes sobre la invulnerabilidad de iOS frente a amenazas similares.
Consejos para protegerse del robo de información en dispositivos móviles
Desde Kaspersky recomiendan tomar varias medidas para defenderse de SparkKitty y amenazas similares. Entre los consejos clave destacan:
- Eliminar inmediatamente cualquier app sospechosa, especialmente si fue descargada fuera de las tiendas oficiales.
- Revisar los permisos otorgados a las aplicaciones. Si una app solicita acceso a tus fotos sin justificación, lo mejor es denegar ese permiso.
- No almacenar capturas de pantalla con información sensible, como contraseñas o frases de recuperación de billeteras digitales, en la galería del teléfono. Para gestionar contraseñas, lo más seguro es utilizar un gestor especializado como Kaspersky Password Manager.
- Instalar soluciones de ciberseguridad confiables, como Kaspersky Premium, que pueden alertar y bloquear transferencias sospechosas, incluso en sistemas tan cerrados como iOS.
La empresa de seguridad ha informado ya a Apple y Google sobre los hallazgos y la presencia de apps maliciosas en sus tiendas. Aunque no se ha divulgado la cifra total de víctimas, el alto volumen de descargas de algunas apps infectadas indica que el impacto ha sido considerable, especialmente en el ámbito de las criptomonedas.
A medida que aumenta el uso de activos digitales, los ciberdelincuentes desarrollan nuevas formas de robar información valiosa. Es fundamental mantener la vigilancia y no instalar aplicaciones fuera de las tiendas oficiales, además de revisar cuidadosamente los permisos otorgados a cada app.
