Especialistas en ciberseguridad de Kaspersky han identificado un nuevo software malicioso llamado SparkKitty, diseñado para espiar dispositivos con sistemas iOS y Android. Este programa se oculta dentro de aplicaciones móviles y tiene la capacidad de acceder a fotos e información confidencial del dispositivo, incluyendo datos relacionados con billeteras de criptomonedas.
Este código malicioso ha sido detectado en apps que aparentaban ser herramientas de inversión en criptomonedas, plataformas de apuestas y hasta una versión modificada de TikTok. SparkKitty logró llegar a tiendas oficiales como App Store y Google Play, así como a sitios web falsos que imitaban tiendas legítimas para engañar a los usuarios.
Según el equipo de Kaspersky, el objetivo principal de SparkKitty es sustraer información que pueda dar acceso a activos digitales. Algunas pistas sugieren que esta operación puede tener vínculos con un troyano anterior llamado SparkCat, que fue pionero en atacar dispositivos iOS y destacaba por su función de reconocimiento óptico de caracteres (OCR) para capturar claves y frases de recuperación almacenadas en imágenes.
En la App Store, una de las apps maliciosas detectadas se hacía pasar por una plataforma financiera llamada 币coin. A través de páginas fraudulentas que simulaban ser la tienda oficial de Apple, los ciberdelincuentes distribuían aplicaciones como TikTok y servicios de apuestas, manipuladas para instalar software espía.
Algunos de estos sitios incluso incluían versiones modificadas de apps con funciones de compra, las cuales solo aceptaban pagos en criptomonedas, lo que aumenta las sospechas sobre su uso para actividades delictivas. Para instalar estas versiones en iPhone, los atacantes utilizaron métodos legítimos como certificados empresariales y herramientas para desarrolladores, los cuales permiten instalar apps fuera de la tienda oficial.
Una vez instalada, la versión alterada de TikTok no solo accedía a las imágenes del dispositivo, sino que también añadía enlaces a tiendas sospechosas dentro del perfil del usuario, con opciones de compra exclusivamente en criptoactivos.
En el caso de Android, SparkKitty se distribuyó tanto a través de sitios externos como por medio de Google Play. Una de las apps infectadas más destacadas fue SOEX, una plataforma que se presentaba como un mensajero con opción de intercambio de criptomonedas, y que logró más de 10.000 descargas en la tienda oficial.
Los investigadores también hallaron archivos APK infectados alojados en páginas promocionadas en redes sociales como YouTube. Estas apps aparentaban ser proyectos legítimos de inversión, pero funcionaban en segundo plano enviando imágenes del dispositivo al servidor de los atacantes, posiblemente en busca de datos sensibles como claves privadas o frases de recuperación.
Cómo protegerse del troyano SparkKitty
Kaspersky ofrece las siguientes recomendaciones para evitar ser víctima de este tipo de malware:
- Elimina de inmediato cualquier app sospechosa que hayas instalado recientemente y que esté relacionada con criptomonedas o apuestas, sobre todo si no proviene de una fuente oficial verificada.
- Revisa los permisos de las aplicaciones. Si una app pide acceso a tu galería de imágenes sin una razón clara, lo mejor es denegar ese permiso.
- Evita guardar capturas de pantalla sensibles, como contraseñas o frases de recuperación de criptomonedas, en tu galería. En su lugar, utiliza gestores de contraseñas como Kaspersky Password Manager.
- Instala una solución de seguridad confiable. En iOS, por ejemplo, Kaspersky Premium puede identificar conexiones sospechosas y bloquear el envío de datos a servidores maliciosos.
Para más detalles técnicos, puedes consultar el informe completo en el portal especializado: Securelist.com