Una red de apps maliciosas (spyware) ha logrado colarse en las tiendas oficiales de iOS y Android con el objetivo de extraer fotos de la galería de los usuarios con el fin de conseguir las claves de acceso de las billeteras de criptomonedas.
Ya en enero de 2025, la gente de Kaspersky identificó SparkCat, un spyware que empleaba un módulo de reconocimiento de texto para localizar capturas relacionadas con monederos de criptomonedas. Ahora han encontrado una variante llamada SparkKitty, la cual se encuentra alojada en apps tanto en Google Play como en la App Store.
La amenaza se extiende a través de apps que incluyen librerías ofuscadas -a veces presentadas como AFNetworking.framework o Alamofire.framework- que se activan en segundo plano al iniciarse la aplicación.
En dispositivos Android el malware se integra como un módulo Xposed o en código Java/Kotlin estándar; en iOS, utiliza perfiles empresariales de aprovisionamiento para instalar certificados confiables que facilitan la ejecución de código no aprobado por Apple.
Spyware SparkKitty
La carga maliciosa examina el archivo Info.plist de la aplicación para verificar claves cifradas; si todo coincide, descarga un listado de servidores de comando y control, descifra su contenido con AES-256 y solicita autorización para subir imágenes.
A partir de ese momento, monitoriza cualquier cambio en la galería, guarda un registro de los archivos ya enviados y transmite nuevos ficheros mediante peticiones HTTP PUT. Está chupado para los atacantes depurar este código gracias a una base de datos local que compara hashes de identificadores del dispositivo.
El modus operandi coincide con el observado en versiones anteriores: búsqueda motivada por frases clave vinculadas a contraseñas, extracción de fotos de recibos o capturas de pantallas con semillas de billeteras de criptomonedas, y exfiltración silenciosa sin intervención visible por parte del usuario. Además, algunas variantes emplean Google ML Kit para reconocer bloques de texto en imágenes descargadas, escaneando cualquier texto con más de tres líneas antes de enviarlo a servidores alojados en servicios cloud internacionales.
Mecanismos de propagación y objetivos
El vector inicial suele ser un sitio web que imita tiendas de mods o tiendas oficiales, redirigiendo en iPhone a una versión caricaturesca de la App Store y ofreciendo la descarga tras instalar un perfil empresarial. En Android, se distribuyen APK desde enlaces que prometen funciones extra de TikTok u otras apps populares. Tras la instalación, la aplicación solicita permisos de acceso a fotos y almacenamiento, imprescindibles para que el módulo malicioso pueda operar.
La mayoría de las apps infectadas tenían relación con servicios de criptomonedas, trackers de precios o incluso juegos de apuestas centrados en audiencias de Sudeste Asiático y China, sin embargo no existen obstáculos técnicos para que el spyware se extienda a cualquier región, ya sea España, Alemania, México, Argentina o Estados Unidos.
A través de redes de dominios y esquemas Ponzi, los atacantes promocionan sus troyanos en anuncios de redes sociales, aprovechando el tirón de plataformas reconocidas para engañar a víctimas desprevenidas. Además, en los momentos que actualmente se encuentra el mercado cripto, donde Bitcoin está por encima de los 100K dólares y Ethereum con muestras de un fuerte rebote alcista -y con ello muchas altcoins-, este tipo de amenazas se multiplican, por lo que hay que tener aún más precaución.
Herramientas de defensa
Las tiendas oficiales han retirado algunas de estas aplicaciones tras ser notificadas, pero la estrategia sigue en marcha. Para reducir el riesgo, conviene revisar los permisos de perfil instalados en iOS y limitar el acceso de apps de orígenes dudosos. En Android, lo mejor es evitar fuentes desconocidas y emplear soluciones de seguridad que detecten firmas heurísticas como HEUR:Trojan-Spy.AndroidOS.SparkKitty.* o HEUR:Trojan-Spy.IphoneOS.SparkKitty.*.
La vigilancia constante del comportamiento de las apps y la actualización de los sistemas operativos ayudan a contener esta oleada de espionaje visual. Al ismo tiempo, es recomendable tener alguna aplicación antimalware (antivirus) instalado en el móvil. Y, por supuesto, no guardar en el móvil contraseñas, ya sea como texto o como imagen. Las contraseñas siempre fuera del dispositivo.