La ciberseguridad móvil vuelve a estar en el centro de la atención. Kaspersky ha descubierto un nuevo troyano espía bautizado como SparkKitty, diseñado para infectar dispositivos Android e iOS, robar imágenes del usuario y extraer datos vinculados a billeteras de criptomonedas.

Este malware se ocultaba en aplicaciones disfrazadas de plataformas de apuestas, inversión en criptomonedas y hasta versiones falsas de TikTok, logrando infiltrarse tanto en la Google Play Store como en la App Store de Apple, además de propagarse a través de sitios web fraudulentos.

SparkKitty actúa como un malware espía, que una vez instalado en el dispositivo, envía a los atacantes imágenes de la galería del teléfono, información del sistema e incluso manipula accesos del usuario. Según el equipo de investigación de Kaspersky, este troyano guarda similitudes con SparkCat, una amenaza previa que fue la primera de su tipo en atacar dispositivos iOS utilizando técnicas de reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de billeteras digitales.

La aplicación maliciosa más destacada en iOS se presentó bajo el nombre “币coin” y fue distribuida tanto en la App Store como a través de páginas falsas que imitaban la tienda oficial. Estas plataformas incentivaban la descarga usando certificados empresariales, aprovechando las herramientas de desarrollador de Apple para evadir controles.

En el caso de la versión troyanizada de TikTok, la app modificada no solo solicitaba acceso a la galería, sino que insertaba enlaces dentro del perfil del usuario a una tienda fraudulenta que únicamente aceptaba pagos en criptomonedas. Esto refuerza las sospechas de que el objetivo final del malware es robar o desviar activos digitales.

“Durante el proceso de inicio de sesión, la app maliciosa extraía información y manipulaba enlaces dentro del perfil para redirigir a los usuarios a una tienda sospechosa con pagos en criptoactivos”, explicó Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación de Kaspersky.

En Android, SparkKitty se camufló como apps de mensajería y servicios financieros, como SOEX, un supuesto servicio de intercambio de criptomonedas que fue descargado más de 10.000 veces desde Google Play. Otras variantes del malware fueron distribuidas en sitios web de terceros y promocionadas en redes sociales como YouTube, dirigidas a usuarios interesados en proyectos de inversión cripto.

Estas aplicaciones, aunque aparentaban funcionar correctamente, operaban en segundo plano para extraer imágenes y datos sensibles, principalmente capturas con contraseñas o frases semilla de wallets.

El hallazgo de SparkKitty pone en evidencia los nuevos métodos usados por los ciberdelincuentes para evadir los filtros de seguridad de las tiendas oficiales y dirigirse directamente a los usuarios. Para evitar ser víctima, Kaspersky recomienda:

• Eliminar inmediatamente cualquier app sospechosa que hayas instalado recientemente, especialmente si está relacionada con criptomonedas o apuestas.
• Evitar guardar capturas de pantalla con información sensible (como frases de recuperación o contraseñas) en la galería del celular.
• Revisar cuidadosamente los permisos de las apps antes de instalarlas. Si una app solicita acceso a tu galería y no es estrictamente necesario, es mejor denegar el permiso.
• Utilizar gestores de contraseñas especializados como Kaspersky Password Manager para almacenar credenciales de forma segura.
• Instalar un software de ciberseguridad confiable. Kaspersky Premium, por ejemplo, detecta conexiones sospechosas y bloquea transferencias de datos no autorizadas, incluso en dispositivos Apple.

A pesar de las políticas de seguridad de Apple y Google, SparkKitty demuestra que los actores maliciosos están encontrando nuevos caminos para infectar móviles y robar información altamente sensible. Con el auge de las criptomonedas y las plataformas de trading desde el celular, protegerse de estas amenazas es hoy más importante que nunca.