Nuevo malware ataca celulares Android y iPhone: roba tus fotos y datos financieros

Un troyano espía conocido como SparkKitty ha logrado infiltrar las tiendas oficiales de aplicaciones de Apple y Google, poniendo en riesgo a usuarios de iOS y Android en todo el mundo.

Detectado por los equipos de investigación de Kaspersky, este malware representa un peligro al robar imágenes, datos confidenciales y frases semilla de las billeteras de criptomonedas de los usuarios, explotando los intereses y hábitos digitales vinculados a inversiones y apuestas.

Qué es y cómo funciona SparkKitty

Este es un software de espionaje capaz de operar en segundo plano una vez instalado, enviando a los atacantes las imágenes almacenadas en la galería del teléfono, información de sistema y accesos relevantes sin que la víctima lo note.

Este malware no solo se encuentra en aplicaciones descargadas de sitios fraudulentos, sino que logró colarse en la Google Play Store y la App Store aprovechando diversas técnicas de ocultamiento y certificación.

SparkKitty exhibe similitudes importantes con SparkCat, un troyano documentado previamente que impactó principalmente en dispositivos iOS. Ambos comparten rutas de archivos y ciertos mecanismos de funcionamiento, como el uso del reconocimiento óptico de caracteres (OCR) para analizar capturas de pantalla y extraer textos sensibles, sobre todo frases de recuperación de billeteras digitales.

La amenaza se distribuye a través de aplicaciones disfrazadas de plataformas de apuestas, servicios de inversión en criptomonedas y versiones manipuladas de aplicaciones reconocidas como TikTok. En iOS, la variante más destacada apareció bajo el nombre “币coin”, haciéndose pasar por un rastreador de información de criptoactivos.

Para burlar las medidas de seguridad de iOS, los atacantes recurrieron a certificados empresariales y herramientas de desarrollador, explotando lagunas del sistema.

De este modo, facilitaron la instalación de aplicaciones sin la supervisión directa de Apple, un mecanismo que puso a los usuarios en situación de alta vulnerabilidad. En el caso concreto del TikTok modificado, SparkKitty solicitaba acceso a la galería, tomaba imágenes y además insertaba enlaces maliciosos en el perfil del usuario, conduciéndolo a una tienda fraudulenta que aceptaba únicamente pagos en criptomonedas.

En el entorno Android, la estrategia implicó la publicación de aplicaciones aparentemente legítimas en Google Play, como ocurrió con SOEX, una supuesta app de mensajería y criptointercambio que superó las 10.000 descargas antes de ser detectada.

Además, los responsables del troyano difundieron versiones infectadas (archivos APK) en sitios web de terceros y las promocionaron a través de redes sociales como YouTube, encarando especialmente a entusiastas de inversiones cripto y juegos de apuestas.

Las apps infectadas aparentaban ofrecer las funciones prometidas al usuario, pero operaban silenciosamente en segundo plano para extraer fotos y datos delicados, sobre todo capturas de pantalla donde suelen almacenarse frases semilla, contraseñas y demás información crítica para el acceso a billeteras y fondos digitales.

Qué buscan los ciberdelincuentes con este ataque

De acuerdo con los análisis de la empresa de ciberseguridad, el propósito central de SparkKitty es localizar capturas de pantalla que contengan frases semilla y accesos privados a wallets de criptomonedas. Esta información resulta extremadamente valiosa, pues permite a los atacantes transferir o apropiar activos digitales contenidos en dichas billeteras.

Esi bien el objetivo primordial es obtener estas frases, las imágenes robadas pueden contener datos confidenciales adicionales, aumentando así el riesgo de vulneración para las víctimas. Por la naturaleza indiscriminada del ataque, cualquier usuario que haya guardado datos sensibles como imagen en su galería queda expuesto.

Las fuentes señalan que la concentración de aplicaciones fraudulentas en el ámbito de criptomonedas y apuestas no es casual: esta selección busca maximizar la probabilidad de que existan capturas de pantalla con información financiera, facilitando así el robo de fondos.

Recomendaciones para protegerse del troyano

• Eliminar aplicaciones sospechosas: si algún usuario ha descargado recientemente apps relacionadas con criptomonedas, apuestas u ofertadas a través de canales no oficiales y nota un comportamiento inusual en el dispositivo, debe proceder a eliminarlas de inmediato.
• No almacenar frases sensibles en la galería: guardar capturas de pantalla de frases semilla, contraseñas o accesos críticos en la galería constituye un error grave, pues estos archivos permanecen vulnerables frente a los ataques automatizados de SparkKitty. Lo recomendado es anotar esta información en papel y almacenarla de manera física y segura.
• Revisar los permisos de las apps: antes de instalar cualquier aplicación, conviene analizar detalladamente los permisos requeridos. Si una herramienta solicita acceso a elementos no relacionados con su función –como la galería de fotos en el caso de apps que no lo necesitan–, se debe denegar el permiso.

Como principio general, evitar descargas de aplicaciones desde fuentes no oficiales y mantenerse atento a las alertas emitidas por proveedores de seguridad y fabricantes resulta fundamental frente a la sofisticación creciente de los ataques.