Nueva versión del malware SparkCat se infiltra en tiendas oficiales para robar criptomonedas
728 x 90 px
A lo largo de mis siete años de trayectoria como especialista en ciberseguridad y arquitecturas de información, he documentado cómo las amenazas digitales perfeccionan sus métodos de infección para vulnerar los ecosistemas móviles. Recientemente, el equipo global de investigación de amenazas de Kaspersky ha emitido una alerta técnica de máxima prioridad: la identificación de una variante actualizada del malware SparkCat. Apenas un año después del descubrimiento de su versión original, este código malicioso ha logrado infiltrarse nuevamente en aplicaciones aparentemente legítimas distribuidas a través de las plataformas oficiales App Store y Google Play.
La particularidad técnica que hace de esta amenaza un riesgo crítico es su vector de ataque. En lugar de interceptar pulsaciones de teclado o redirigir tráfico de red, el software malicioso busca acceder a la galería de imágenes del usuario para extraer frases de recuperación (seed phrases) de billeteras de criptomonedas. Este hallazgo subraya la necesidad de comprender cómo operan estas nuevas herramientas de infiltración y qué medidas preventivas resultan efectivas.
La evolución técnica de la amenaza en ecosistemas móviles
El proceso de revisión de aplicaciones en tiendas como Google Play y la App Store de Apple suele ser riguroso, utilizando sistemas automatizados para detectar comportamientos anómalos. Sin embargo, la nueva iteración de SparkCat ha demostrado una capacidad notable para evadir estas barreras perimetrales.
(Automático aquí)
Los especialistas en telemetría de Kaspersky confirmaron que el malware se ocultaba dentro de aplicaciones que presentaban una fachada completamente funcional y legítima. Entre el software comprometido se encontraban herramientas de mensajería diseñadas para la comunicación corporativa y plataformas de entrega de comida a domicilio. Tras la notificación por parte de la firma de seguridad, se eliminaron dos aplicaciones infectadas del catálogo de iOS y una de la tienda de Android.
Además de los canales oficiales, los ciberdelincuentes han diversificado sus métodos de propagación. Los datos de la investigación revelan que los atacantes estructuraron sitios web fraudulentos diseñados para imitar la interfaz visual de la App Store. Cuando un usuario accede a estas páginas desde un iPhone, es engañado para descargar e instalar perfiles de configuración maliciosos bajo la ilusión de estar obteniendo una aplicación verificada.
Técnicas de evasión de grado avanzado
El éxito de esta campaña radica en la sofisticación de su código. En el caso específico de la versión para Android, los desarrolladores de la amenaza han incorporado múltiples capas de ofuscación para dificultar la labor de los analistas de seguridad y los motores antivirus.
El malware emplea técnicas de virtualización de código, lo que significa que su comportamiento malicioso se ejecuta en un entorno aislado dentro de la misma aplicación, ocultando sus verdaderas intenciones durante la revisión automatizada de las tiendas. Asimismo, la utilización de lenguajes de programación multiplataforma añade un nivel de complejidad inusual para el software malicioso dirigido a dispositivos móviles, confirmando que los actores detrás de esta operación poseen un alto nivel de experiencia técnica.
El método de extracción de datos mediante reconocimiento óptico
El objetivo financiero de la campaña es directo: el robo de activos digitales. Para lograrlo, los atacantes explotan una vulnerabilidad humana muy común en el entorno de las criptomonedas. Muchos usuarios, al crear una nueva billetera digital (wallet), toman una captura de pantalla de su frase de recuperación o frase semilla, la cual consta generalmente de doce o veinticuatro palabras. Estas imágenes quedan almacenadas sin cifrar en la galería de fotos del teléfono.
La variante de SparkCat se aprovecha de este hábito. Una vez instalada, la aplicación maliciosa solicita permisos de acceso a la galería de fotos bajo pretextos funcionales plausibles, como cambiar una foto de perfil o adjuntar una imagen en un chat. Si el usuario concede el permiso, el malware escanea silenciosamente el almacenamiento del dispositivo.
Para interpretar el texto dentro de las imágenes, el código integra un módulo de reconocimiento óptico de caracteres (OCR). Esta tecnología permite al malware «leer» las capturas de pantalla, buscar patrones específicos y extraer palabras que coincidan con las frases semilla de las billeteras de criptomonedas. Cuando identifica información de valor, transmite los datos de forma cifrada a los servidores de comando y control de los ciberdelincuentes, permitiéndoles vaciar los fondos de las víctimas en cuestión de minutos.
Diferencias operativas entre plataformas
La investigación detalló que la amenaza adapta su comportamiento dependiendo del sistema operativo infectado. En los dispositivos Android, el módulo OCR está configurado para escanear y localizar palabras clave específicas en japonés, coreano y chino. Esta configuración focalizada indica que la campaña actual tiene como objetivo principal a los usuarios del mercado asiático.
Por el contrario, la versión diseñada para iOS adopta una red de captura mucho más amplia. El código que afecta a los dispositivos de Apple busca activamente palabras clave de recuperación de criptomonedas en idioma inglés. Esta decisión técnica incrementa exponencialmente el alcance geográfico de la amenaza, afectando a víctimas en múltiples regiones a nivel global.
Estrategias de mitigación frente a amenazas móviles
Fabio Assolini, investigador líder del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, señala que las similitudes entre las distintas versiones confirman que los mismos desarrolladores continúan perfeccionando el código. Ante la constante evolución de estas herramientas de intrusión, es imperativo aplicar protocolos de seguridad estrictos a nivel de usuario.
La primera línea de defensa consiste en implementar una solución de ciberseguridad robusta en el dispositivo móvil. Herramientas especializadas cuentan con firmas actualizadas para bloquear la instalación de este tipo de amenazas, como es el caso de los identificadores HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*. En ecosistemas cerrados, estas soluciones actúan bloqueando los intentos de conexión de red hacia servidores maliciosos conocidos, alertando inmediatamente al usuario.
Desde el punto de vista de la gestión de la información, la práctica de almacenar capturas de pantalla con contraseñas, códigos de autenticación o frases semilla en la galería general del teléfono debe erradicarse por completo. Los datos críticos requieren aislamiento criptográfico. Para ello, es fundamental utilizar administradores de contraseñas de grado empresarial, los cuales cifran la información localmente e impiden que otras aplicaciones puedan extraer el texto mediante procesos en segundo plano. Finalmente, se debe mantener un escepticismo técnico constante al conceder permisos de sistema, evaluando si una aplicación realmente necesita acceso absoluto a los archivos multimedia para cumplir su función básica.
