El troyano sofisticado elude la seguridad de Apple y Google para recolectar frases semilla de criptomonedas desde fotos de dispositivos móviles, marcando una escalada significativa en los ataques dirigidos a criptomonedas.
Investigadores de ciberseguridad en Kaspersky han descubierto una nueva campaña de malware móvil sofisticado llamada "SparkKitty", que ha logrado infiltrarse tanto en la App Store de Apple como en la Google Play Store, comprometiendo a más de 5,000 usuarios de criptomonedas en China y el Sureste Asiático.
El malware se centra en robar capturas de pantalla de frases semilla de billeteras almacenadas en galerías de teléfonos móviles, representando una evolución significativa en los ataques dirigidos a criptomonedas que explotan vulnerabilidades fundamentales en la seguridad móvil.
El malware ha estado activo al menos desde principios de 2024, según el último informe de seguridad de Kaspersky publicado esta semana. A diferencia de los métodos tradicionales de distribución de malware, SparkKitty logró un éxito notable al incrustarse dentro de aplicaciones que aparentan ser legítimas a lo largo de ambas plataformas móviles principales, incluyendo herramientas de seguimiento de precios de criptomonedas, aplicaciones de apuestas, y versiones modificadas de populares aplicaciones de redes sociales como TikTok.
El aspecto más preocupante de esta campaña es su exitosa evasión tanto del riguroso proceso de revisión de la App Store de Apple como de los sistemas de seguridad Play Protect de Google. Una aplicación de mensajería comprometida, SOEX, alcanzó más de 10,000 descargas antes de ser detectada y eliminada, demostrando la capacidad del malware para operar sin ser detectado dentro de los ecosistemas oficiales de aplicaciones durante períodos prolongados.
Metodología Avanzada de Recolección de Datos
SparkKitty representa un avance técnico significativo sobre su predecesor, SparkCat, que fue identificado por primera vez en enero de 2025. A diferencia del malware tradicional que selecciona datos sensibles, SparkKitty roba indiscriminadamente todas las imágenes de los dispositivos infectados, creando amplias bases de datos de fotos de usuarios que posteriormente se suben a servidores remotos para su análisis.
El malware opera a través de un proceso sofisticado de varias etapas. Luego de su instalación mediante perfiles de aprovisionamiento engañosos, SparkKitty solicita permisos de acceso estándar a la galería de fotos, una solicitud que parece rutinaria para la mayoría de los usuarios. Una vez otorgado el acceso, el troyano monitorea continuamente la biblioteca de fotos del dispositivo en busca de cambios, creando bases de datos locales de imágenes capturadas antes de transmitirlas a servidores controlados por los atacantes.
Los investigadores de Kaspersky enfatizan que el objetivo principal de los atacantes parece ser identificar y extraer frases semilla de billeteras de criptomonedas de capturas de pantalla almacenadas en dispositivos infectados. Estas frases de recuperación de 12 a 24 palabras proporcionan acceso completo a los activos digitales de los usuarios, haciéndolas objetivos extremadamente valiosos para los ciberdelincuentes.
El surgimiento de SparkKitty ocurre en un contexto de aumento de delitos cibernéticos enfocados en criptomonedas. Según el análisis de TRM Labs de 2024, casi el 70% de los $2.2 mil millones en criptomonedas robadas resultaron de ataques a la infraestructura, particularmente aquellos que involucraron el robo de claves privadas y frases semilla. Solo en enero de 2025, 9,220 víctimas perdieron $10.25 millones en estafas de phishing de criptomonedas, destacando la naturaleza persistente y en evolución de las amenazas dirigidas a las criptomonedas.
El enfoque geográfico actual del malware en China y el Sureste Asiático refleja tendencias más amplias en la adopción de criptomonedas y el enfoque de los ciberdelincuentes. Sin embargo, los expertos en seguridad advierten que las capacidades técnicas de SparkKitty y su eficacia comprobada hacen que la expansión global sea altamente probable. La capacidad del malware para infiltrarse en tiendas de aplicaciones oficiales sugiere que ningún ecosistema móvil está exento de ataques avanzados enfocados en criptomonedas.
Evolución Técnica y Atribución
El análisis forense revela conexiones significativas entre la campaña de malware SparkKitty y la anterior SparkCat. Ambos troyanos comparten símbolos de depuración, patrones de construcción de código, y varias aplicaciones vectorialmente comprometidas, sugiriendo un desarrollo coordinado por los mismos actores de amenazas. Sin embargo, SparkKitty demuestra refinamientos técnicos notables, incluyendo capacidades mejoradas de recopilación de datos y técnicas de evasión mejoradas.
SparkCat específicamente atacó frases de recuperación de billeteras de criptomonedas mediante el uso de tecnología de reconocimiento óptico de caracteres para extraer estas frases de imágenes, mientras que SparkKitty adopta un enfoque más amplio al recolectar todos los datos disponibles de imágenes para su procesamiento posterior. Esta evolución sugiere que los atacantes están optimizando sus operaciones para la máxima eficiencia de colección de datos mientras reducen el procesamiento en el dispositivo que podría desencadenar alertas de seguridad.
La campaña de SparkKitty expone vulnerabilidades fundamentales en las prácticas de seguridad de criptomonedas móviles. Muchos usuarios de manera rutinaria hacen capturas de pantalla de sus frases semilla por conveniencia, creando copias digitales que se convierten en objetivos principales para malware como SparkKitty. Esta práctica, aunque comprensible desde una perspectiva de experiencia de usuario, genera vulnerabilidades críticas de seguridad que los atacantes sofisticados están explotando cada vez más.
Los investigadores de seguridad enfatizan que la amenaza se extiende más allá de los usuarios individuales hacia el ecosistema más amplio de criptomonedas. Cada día, se detectan 560,000 nuevas piezas de malware, con las plataformas móviles volviéndose objetivos cada vez más atractivos a medida que la adopción de criptomonedas se acelera a nivel mundial.
El éxito del malware al eludir las medidas de seguridad de las tiendas de aplicaciones también plantea preguntas sobre la efectividad de los marcos de seguridad móviles actuales. Tanto Apple como Google han implementado procesos de revisión sofisticados diseñados para prevenir que las aplicaciones maliciosas lleguen a los usuarios, pero la infiltración exitosa de SparkKitty demuestra que atacantes decididos aún pueden eludir estas protecciones.
Respuesta de la Industria y Medidas de Defensa
Tras la divulgación de Kaspersky, tanto Apple como Google han iniciado procedimientos de eliminación de las aplicaciones infectadas por SparkKitty identificadas. Sin embargo, la naturaleza dinámica de la amenaza significa que pueden seguir surgiendo nuevas variantes, lo que requiere una vigilancia continua tanto por parte de los investigadores de seguridad como de los operadores de las tiendas de aplicaciones.
Los expertos en seguridad de criptomonedas están recomendando medidas de defensa inmediatas para los usuarios de billeteras móviles. Las recomendaciones principales incluyen evitar el almacenamiento digital de frases semilla por completo, utilizar billeteras de hardware para posesiones significativas, e implementar auditorías rigurosas de permisos de aplicaciones. Se aconseja a los usuarios revisar las galerías de fotos existentes en busca de cualquier credencial de billetera almacenada y eliminar dichas imágenes de inmediato.
El incidente también ha provocado una discusión renovada sobre los estándares de seguridad de criptomonedas móviles. Los líderes de la industria están pidiendo requisitos de seguridad mejorados para las aplicaciones móviles relacionadas con criptomonedas, incluyendo auditorías de seguridad obligatorias y modelos de permisos más estrictos para aplicaciones que manejan datos financieros sensibles.
Mientras que SparkKitty actualmente se enfoca en los mercados asiáticos, los expertos en ciberseguridad advierten que la expansión global parece inevitable. La eficacia comprobada del malware y la naturaleza universal del uso de criptomonedas móviles sugieren que los mercados occidentales podrían enfrentar pronto amenazas similares. Para 2025, el cibercrimen - incluyendo ataques impulsados por malware - podría costar a la economía global $10.5 billones anuales, con malware dirigido a criptomonedas representando un componente creciente de este panorama de amenazas.
La naturaleza sofisticada de las capacidades de infiltración de tiendas de aplicaciones de SparkKitty sugiere que campañas similares pueden ya estar en marcha en otras regiones. Los investigadores de seguridad piden una cooperación internacional mejorada para combatir el malware de criptomonedas móviles, incluyendo una mejor compartición de información entre los operadores de tiendas de aplicaciones y las organizaciones de ciberseguridad.
Evaluación de Amenazas Futuras
La campaña de SparkKitty representa una escalada significativa en las amenazas de criptomonedas móviles, combinando capacidades técnicas sofisticadas con mecanismos de distribución comprobados. A medida que la adopción de criptomonedas continúa expandiéndose globalmente, es probable que amenazas similares aumenten tanto en frecuencia como en sofisticación.
Los expertos en seguridad predicen que las futuras iteraciones de malware dirigido a criptomonedas probablemente incorporen técnicas de evasión adicionales, incluyendo métodos mejorados de elusión de tiendas de aplicaciones y capacidades de exfiltración de datos más sofisticadas. El éxito del enfoque de recolección de fotos de SparkKitty puede inspirar a otras familias de malware a adoptar metodologías similares, creando un ambiente de amenazas en escalada para los usuarios de criptomonedas móviles.
El incidente subraya la importancia crítica de las prácticas de seguridad móvil robustas para los poseedores de criptomonedas. A medida que los valores de activos digitales continúan aumentando y la adopción se expande, los dispositivos móviles representan objetivos cada vez más atractivos para las organizaciones cibercriminales sofisticadas.
Los usuarios deben adaptar sus prácticas de seguridad en consecuencia, priorizando el uso de billeteras de hardware y eliminando el almacenamiento digital de frases semilla para proteger sus posesiones de criptomonedas contra amenazas cada vez más sofisticadas del malware móvil.