Un nuevo troyano espía se está colando en las tiendas oficiales de aplicaciones móviles de Apple y Google, haciéndose pasar por apps de criptomonedas, apuestas y hasta una versión modificada de TikTok.
El malware, denominado SparkKitty, fue descubierto por investigadores de la firma de ciberseguridad Kaspersky, quienes advirtieron que su objetivo principal es robar imágenes y datos vinculados a activos digitales, especialmente criptomonedas.
Según el informe, SparkKitty tiene la capacidad de acceder a la galería de fotos de los dispositivos infectados y enviar imágenes al servidor de los atacantes. La principal amenaza en este caso, que hay usuarios que almacenan capturas de pantalla con frases de recuperación de billeteras o contraseñas.
Leandro Cuozzo, analista del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, explicó que durante el proceso de inicio de sesión en la versión troyanizada de TikTok, el malware no solo robaba imágenes, sino que también insertaba enlaces sospechosos dentro del perfil del usuario, con tiendas que solo aceptaban pagos en criptomonedas.
Malware activo en iOS y Android
El troyano fue detectado en la App Store bajo el nombre de ?coin, una supuesta aplicación de criptomonedas. También se distribuía fuera de la tienda oficial de Apple mediante páginas de phishing que imitaban la App Store y aprovechaban perfiles de aprovisionamiento y certificados empresariales para instalar el software malicioso, una técnica avanzada que sortea las restricciones de iOS.
En el ecosistema Android, SparkKitty fue difundido tanto en Google Play como en sitios web de terceros. Una de las apps maliciosas más descargadas fue SOEX, una plataforma de mensajería con funciones de intercambio cripto que superó las 10.000 instalaciones desde la tienda oficial.
Además, los atacantes promovieron sus apps infectadas a través de redes sociales como YouTube, con enlaces a sitios fraudulentos que ofrecían “proyectos de inversión” para atraer víctimas.
¿Qué buscan los atacantes?
Aunque las apps funcionaban con normalidad pero en segundo plano enviaban las fotos almacenadas en el dispositivo a los servidores de los delincuentes. Con tecnología de reconocimiento óptico de caracteres (OCR), los atacantes pueden extraer frases de recuperación o claves contenidas en las imágenes. Esta técnica ya había sido usada en campañas previas, como la de SparkCat, considerada precursora de SparkKitty.
El objetivo es robar activos digitales, por lo que todas las aplicaciones implicadas están vinculadas de alguna forma con criptomonedas.
