Investigadores de ciberseguridad han identificado una campaña maliciosa que distribuye el malware SparkKitty a través de aplicaciones móviles maliciosas publicadas en Google Play Store, App Store de Apple y plataformas no oficiales. Estas apps estaban disfrazadas como falsas tiendas de criptomonedas en línea, aplicaciones de apuestas, juegos con contenido para adultos y juegos tipo casino, diseñadas para robar fotos personales y activos digitales de los usuarios en dispositivos Android e iOS.
SparkKitty es considerado una posible evolución del malware SparkCat, descubierto por Kaspersky en enero de 2024. SparkCat utilizaba técnicas de reconocimiento óptico de caracteres (OCR) para extraer frases de recuperación de wallets desde imágenes almacenadas en los dispositivos. La variante SparkKitty amplía sus capacidades al acceder a la galería del dispositivo y extraer todas las imágenes sin distinción, con el objetivo de obtener información sensible.
Aunque el foco principal parece ser el robo de credenciales asociadas a criptomonedas, las imágenes extraídas también podrían utilizarse para fines maliciosos como extorsión, si contienen información privada o comprometedora.
Entre las aplicaciones maliciosas detectadas por Kaspersky se encuentran:
- “币coin” (disponible en la App Store de Apple)
- “SOEX” (publicada en Google Play), una app de mensajería con funciones integradas para el intercambio de criptomonedas, que acumuló más de 10.000 descargas antes de ser eliminada.
Google ha confirmado que las aplicaciones maliciosas vinculadas a SparkKitty ya fueron eliminadas de su tienda oficial, y que el desarrollador responsable ha sido suspendido y bloqueado de forma permanente de la plataforma, como medida de contención.
Recomendaciones:
- Elimina apps sospechosas y revisa los permisos otorgados, especialmente acceso a fotos y portapapeles.
- No almacenes información sensible como claves o datos de wallets en capturas de pantalla o imágenes.
- Usa protección móvil confiable y descarga apps solo desde fuentes oficiales verificadas.
Referencias:
- https://www.bleepingcomputer.com/news/security/malware-on-google-play-app-store-stole-your-photos-and-crypto/
- https://securelist.com/sparkkitty-ios-android-malware/116793/
- https://cointelegraph.com/news/crypto-seed-phrase-stealing-malware-on-major-app-stores
- https://www.kaspersky.com/blog/ios-android-stealer-sparkkitty/53675/