Un nuevo malware llamado SparkKitty está causando preocupación, ya que fue detectado en apps tanto de Google Play como de la App Store de Apple. Este malware apunta a dispositivos Android e iOS, y su objetivo principal parece ser robar criptomonedas.
SparkKitty sería una versión más avanzada de otro malware llamado SparkCat, que fue descubierto por Kaspersky a principios de este año. SparkCat usaba tecnología de reconocimiento de texto (OCR) para identificar y robar frases de recuperación (también conocidas como frases semilla) que los usuarios guardaban como imágenes en sus teléfonos.
Para quienes no están muy metidos en el mundo cripto: cuando instalas una billetera digital, el sistema te pide que anotes una frase especial de recuperación. Esa frase es como la llave maestra que permite restaurar tu billetera y acceder a tus fondos desde cualquier otro dispositivo. Por eso es tan valiosa... y tan buscada por los ciberdelincuentes.
Aunque lo ideal es nunca guardar esa frase en tu teléfono ni sacarle una captura de pantalla, mucha gente lo hace por comodidad. Y ahí es donde este tipo de malware entra en juego.
Según Kaspersky, SparkKitty roba todas las fotos de la galería del dispositivo infectado, sin discriminar. Si entre esas imágenes está tu frase semilla, estás en problemas. Pero el riesgo no se queda ahí: si tus fotos contienen algo privado o sensible, también podrían usarse para otros fines maliciosos, como el chantaje o la extorsión.
¿Cómo funciona el malware SparkKitty?
SparkKitty, anda dando vueltas desde al menos febrero de 2024. No solo se ha colado en las tiendas oficiales de Google Play y App Store, sino que también ha circulado por sitios no oficiales y otras plataformas de descarga.
SparkKitty en la App Store de Apple (Fuente: Kaspersky)
Según Kaspersky, las apps maliciosas que lograron colarse fueron 币coin en la App Store de Apple y SOEX en Google Play. Por suerte, ambas ya fueron eliminadas al momento de escribir esto.
En el caso de SOEX, se trataba de una app de mensajería que además ofrecía funciones para intercambiar criptomonedas. Lo preocupante es que llegó a ser descargada más de 10.000 veces desde la tienda oficial de Android antes de que la bajaran.
La aplicación de malware en Google Play (Fuente: Kaspersky)
Podría interesarte leer: Malware Godfather usa Virtualización para Robar Datos Bancarios
Apps falsas tipo TikTok: Así entra el malware SparkKitty en Android e iOS
Kaspersky también descubrió versiones falsas de TikTok que venían con tiendas de criptomonedas sospechosas, apps de apuestas, juegos con contenido para adultos y casinos virtuales. Todo esto disfrazado como apps comunes, pero en realidad infectadas con SparkKitty. Lo más preocupante es que estas versiones modificadas no estaban en tiendas oficiales, sino que se distribuían por canales alternativos y poco confiables.
Aplicación de clonación de TikTok instalada a través de un perfil de iOS (Fuente: Kaspersky)
En el caso de iOS, SparkKitty se camufla dentro de archivos que parecen ser parte del sistema (como AFNetworking.framework o libswiftDarwin.dylib), y a veces se instala usando perfiles empresariales falsos, lo cual le permite evitar los controles de seguridad de Apple.
En Android, por otro lado, el malware se esconde en apps hechas en Java o Kotlin, y algunas de ellas usan módulos maliciosos conocidos como Xposed o LSPosed para tener más control sobre el sistema.
SparkKitty es bastante listo: en iOS, usa un método del lenguaje Objective-C que le permite ejecutar su código apenas abres la app, sin que te des cuenta. Antes de activarse por completo, revisa la configuración de la app para asegurarse de que está en el entorno adecuado.
En Android, se activa de forma similar: cuando abres la app o haces alguna acción específica (como entrar a una pantalla determinada), el malware se pone en marcha. Lo primero que hace es descargar un archivo de configuración cifrado, que contiene las direcciones a las que debe conectarse para enviar tus datos robados. Este archivo está cifrado con AES-256 en modo ECB, una técnica que dificulta su análisis.
Y acá viene lo más delicado: en iOS, el malware pide acceso a tu galería de fotos. En Android, te solicita permisos para acceder al almacenamiento. Si le das el permiso (algo que mucha gente hace sin pensarlo), SparkKitty empieza a escanear tus fotos y a enviar aquellas que sean nuevas o que aún no haya robado. Sí, así de directo.
Código de exfiltración de imágenes en la variante de iOS
En dispositivos Android, SparkKitty puede acceder a tu galería de fotos y subir imágenes junto con datos del teléfono, como identificadores del dispositivo y metadatos. Algunas versiones del malware incluso usan Google ML Kit con OCR, que les permite analizar las imágenes y subir solo las que contienen texto, como capturas de pantalla con frases semilla de billeteras de cripto.
Esto solo confirma algo que ya muchos sospechamos: ni siquiera las tiendas oficiales como Google Play o la App Store son 100% seguras. Que una app esté ahí no significa que sea confiable. Por eso, hay que andarse con cuidado a la hora de instalar cualquier aplicación.
Aquí te dejamos algunos tips básicos para evitar caer en este tipo de malware:
-
Revisa bien la app antes de instalarla. Si tiene poquitas descargas pero muchas reseñas positivas, o si el desarrollador se ve medio sospechoso, mejor no la instales.
-
Pon atención a los permisos. Si una app te pide acceso al almacenamiento, cámara o galería y no tiene sentido que lo haga, es una red flag.
-
Si usas iPhone, evita instalar perfiles de configuración o certificados que no vengan de una fuente de confianza.
-
En Android, asegúrate de tener activado Google Play Protect desde la configuración. También es buena idea correr un análisis de vez en cuando para revisar si todo anda bien.
Y si manejas criptomonedas, este punto es súper importante: no guardes capturas de tu frase semilla en el celular. Esa frase es la llave para acceder a tu billetera y tus fondos, así que si alguien más la consigue, puede vaciarla en minutos.