Detectan un troyano espía en Google Play y App Store: así roba tus datos sin que lo notes

Investigadores de Kaspersky han identificado un nuevo y peligroso troyano espía, denominado SparkKitty, diseñado para atacar dispositivos móviles con los sistemas operativos más populares del mundo: iOS y Android. Su objetivo principal es robar información sensible de los usuarios, especialmente vinculada a criptomonedas.

Este malware ha sido detectado en aplicaciones falsas relacionadas con apuestas, TikTok y criptomonedas, algunas de las cuales llegaron a estar disponibles en las tiendas oficiales App Store y Play Store, además de ser distribuidas por sitios web fraudulentos que imitaban estas plataformas.

Robar criptomonedas, la meta de los atacantes

Según explican los expertos de la firma de ciberseguridad Kaspersky, SparkKitty tiene la capacidad de enviar a los atacantes fotos del dispositivo infectado e información técnica del mismo, lo que puede incluir imágenes con datos confidenciales, como frases de recuperación de billeteras cripto o contraseñas escritas.

El hallazgo de SparkKitty sugiere que podría tratarse de una evolución de otro malware previamente detectado por Kaspersky, SparkCat, el cual ya había marcado un precedente por ser el primer troyano capaz de atacar iPhones.

SparkCat contaba con tecnología OCR (reconocimiento óptico de caracteres), lo que le permitía identificar textos clave dentro de imágenes, como contraseñas o frases semilla de criptomonedas.

El disfraz: apps de TikTok y criptomonedas

En el caso de iOS, el troyano se ocultaba en una app llamada 币coin, que simulaba estar vinculada con servicios de criptomonedas. Además, en páginas web que imitaban la tienda de Apple, se ofrecía una supuesta versión modificada de TikTok, con funcionalidades extra pero infectada con el malware.

“Los atacantes usaron certificados empresariales para instalar apps fuera de la App Store, una técnica que suele emplearse para distribuir herramientas internas en entornos corporativos, pero que puede ser mal utilizada con fines maliciosos”, explicó Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación de Kaspersky para América Latina.

Una vez instalada, esta versión alterada de TikTok pedía acceso a la galería de imágenes, robaba fotografías del dispositivo y además modificaba el perfil del usuario para insertar enlaces a una tienda integrada que solo aceptaba criptomonedas como forma de pago.

En Android también se coló en la Google Play

La ofensiva del troyano no se limitó al sistema operativo de Apple. En Android, SparkKitty fue detectado en apps disfrazadas de servicios de inversión o mensajería con intercambio cripto, como SOEX, que llegó a tener más de 10.000 descargas desde la Google Play.

Además, los analistas detectaron versiones APK (archivos de instalación) del malware en sitios de terceros promocionados a través de redes sociales como YouTube. Estas apps también accedían a la galería del teléfono infectado y enviaban las imágenes capturadas a los servidores de los atacantes.

“El objetivo parece ser claro: acceder a activos digitales de los usuarios, ya que muchas de las apps afectadas están vinculadas a criptomonedas y pagos cripto”, indicó Cuozzo.

Cómo protegerse del malware

Ante la detección de SparkKitty, Kaspersky ofrece una serie de recomendaciones para prevenir infecciones:

• Elimina inmediatamente cualquier app sospechosa, especialmente si fue instalada desde un enlace fuera de la tienda oficial.
• Revisa los permisos que otorgas a las aplicaciones: si una app solicita acceso a tus fotos sin una razón clara, deniega el permiso.
• Evita guardar capturas de pantalla con información sensible, como frases de recuperación de billeteras cripto o contraseñas. Utiliza gestores de contraseñas seguros.
• Instala software de ciberseguridad confiable. Kaspersky Premium, por ejemplo, puede detectar y bloquear intentos de transferencia de datos a servidores maliciosos, incluso en dispositivos iOS, donde la arquitectura del sistema limita otras formas de protección.

¿Qué sigue?

Kaspersky ya ha informado a Google y Apple sobre las aplicaciones infectadas, aunque no se ha detallado cuántas personas fueron afectadas. La aparición de SparkKitty marca la segunda ocasión en el año en que se detecta un troyano activo en la App Store de Apple, lo que pone en entredicho la supuesta invulnerabilidad del ecosistema iOS.

En un contexto donde los activos digitales como las criptomonedas siguen en auge, es esperable que los ciberdelincuentes continúen ideando métodos cada vez más sofisticados para robar datos. Por eso, el consejo es claro: nunca instales aplicaciones desde sitios no oficiales y revisa siempre los permisos que concedes a cada app.