Investigadores de la firma de ciberseguridad Kaspersky identificaron SparkKitty, un nuevo troyano espía que afecta dispositivos iOS y Android a través de aplicaciones móviles distribuidas en App Store, Google Play y sitios fraudulentos. El malware permite a los atacantes acceder a las fotos almacenadas en los teléfonos infectados y extraer información vinculada a criptomonedas, según reportó la compañía.
SparkKitty fue detectado dentro de aplicaciones de criptomonedas, apuestas y una versión modificada de TikTok. Los expertos señalaron que su objetivo es obtener activos digitales mediante el robo de frases de recuperación de billeteras virtuales. Esta campaña marca la segunda ocasión en el último año que un troyano ladrón logra infiltrarse en la App Store.
De acuerdo con Kaspersky, el troyano fue presentado como la aplicación 币coin y se distribuía también mediante páginas de phishing que imitaban la tienda oficial de Apple. Los atacantes utilizaron certificados empresariales y perfiles de aprovisionamiento, métodos legales en entornos de desarrollo, para instalar aplicaciones maliciosas fuera de la App Store.
Leandro Cuozzo, analista de Seguridad en Kaspersky, indicó: "Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas". Además, explicó que la versión alterada de TikTok incluía una tienda que solo aceptaba pagos en criptomonedas, reforzando las sospechas sobre el interés económico detrás del ataque.
En dispositivos Android, SparkKitty se ocultó en aplicaciones de servicios financieros y fue descargado más de 10,000 veces. Una de las apps infectadas, llamada SOEX, ofrecía mensajería e intercambio de criptomonedas desde Google Play. También se localizaron archivos APK en sitios de terceros que promovían proyectos falsos de inversión en redes sociales como YouTube.
El malware operaba en segundo plano, enviando imágenes del dispositivo a los atacantes. Estas fotos podían contener datos sensibles, como contraseñas o frases de recuperación de billeteras virtuales.
Kaspersky recomendó eliminar las aplicaciones afectadas y revisar los permisos otorgados a las apps, especialmente el acceso a la galería de fotos. Además, sugirió no almacenar capturas de pantalla con información confidencial y utilizar gestores de contraseñas seguras como clave para prevenir ciberataques.
La compañía reportó el incidente a Apple y Google, mientras que el análisis técnico completo está disponible en el sitio Securelist.com. (Notipress)
