Julio de 2025
Investigadores de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que
ataca teléfonos inteligentes con sistemas operativos iOS y Android. Este malware envía a los
atacantes imágenes del teléfono infectado e información sobre el dispositivo. El malware
estaba incrustado en aplicaciones relacionadas con criptomonedas y apuestas, así como en
una aplicación de TikTok troyanizada, y fue distribuido tanto en App Store como en Google
Play, además de en sitios web fraudulentos. Los expertos sugieren que el objetivo de los
atacantes es robar activos en criptomoneda.
Kaspersky ha informado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles
técnicos indican que esta nueva campaña podría estar relacionada con SparkCat, un troyano
detectado anteriormente que fue el primero en su tipo en atacar dispositivos iOS. SparkCat
incluía una función de reconocimiento óptico de caracteres (OCR), que le permitía revisar las
galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de
criptomonedas o contraseñas. El caso de SparkKitty marca la segunda vez en un año que los
expertos de Kaspersky detectan un troyano ladrón en la App Store.
En la App Store, el troyano se hacía pasar por una aplicación relacionada con criptomonedas
llamada 币coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de
iPhone, el malware se distribuía bajo la apariencia de aplicaciones de TikTok y apuestas.
Páginas falsas que imitaban la App Store para instalar una
supuesta app de TikTok mediante herramientas de desarrollador, y que también incluían una tienda integrada en la
app modificada, la cual solo aceptaba pagos en criptomonedas.
“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios
web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la
instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo,
como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores. Esta
campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados
empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok,
que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el
malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces
a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente
criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines
maliciosos”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de
Investigación y Análisis para América Latina en Kaspersky
En el caso del sistema Android, los atacantes apuntaron a usuarios tanto en sitios web de
terceros como en Google Play, haciendo pasar el malware por varios servicios de
criptomonedas. Por ejemplo, una de las aplicaciones infectadas —un mensajero llamado
SOEX con función de intercambio de criptomonedas— fue descargada más de 10.000 veces
desde la tienda oficial.
Una supuesta app de intercambio de criptomonedas, SOEX, en Google Play.
Los expertos también encontraron archivos APK de aplicaciones infectadas (que se pueden
instalar directamente en teléfonos Android, sin pasar por las tiendas oficiales) en sitios web de
terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas
apps se presentaban como proyectos de inversión en criptomonedas. Los sitios web en los
que se alojaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.
“Una vez instaladas, las aplicaciones funcionaban tal como se describía, sin embargo, en
segundo plano enviaban a los atacantes las fotos de la galería del teléfono. Estos pueden
intentar luego encontrar datos confidenciales en las imágenes, como frases de recuperación
de billeteras de criptomonedas con el fin de acceder a los activos de las víctimas. Hay señales
indirectas de que los atacantes están interesados en los activos digitales de las personas:
muchas de las aplicaciones infectadas estaban relacionadas con criptomonedas, y la app de
TikTok ‘troyanizada’ también tenía una tienda integrada que solo aceptaba pagos en cripto”,
agregó el experto.
Para evitar convertirse en víctima de este malware, los expertos de Kaspersky recomiendan:
Si has instalado alguna de las aplicaciones infectadas, elimínala de tu
dispositivo y no la vuelvas a usar hasta que se publique una actualización que
corrobore que su funcionalidad maliciosa ya no está presente.
Si una app solicita acceso a tu galería de fotos, asegúrate de que realmente lo
necesita. Conceder permisos innecesarios puede facilitar el robo de imágenes con
información sensible.
Evita guardar en tu galería capturas de pantalla con información sensible, como
frases de recuperación de billeteras de criptomonedas o bien, tus claves de acceso.
Las contraseñas, por ejemplo, pueden almacenarse en aplicaciones especializadas
como Kaspersky Password Manager.
Usa un software de ciberseguridad confiable, como Kaspersky Premium, que
puede prevenir infecciones de malware. Debido a la arquitectura del sistema operativo
de Apple, la solución de Kaspersky para iOS muestra una advertencia si detecta un
intento de transferencia de datos al servidor del atacante, y bloquea dicha conexión.
Para conocer un informe detallado sobre este ataque puede consultar en Securelist.com.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda
experiencia en inteligencia de amenazas y seguridad de Kaspersky se está continuamente transformando en
innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y
consumidores en todo el mundo. El extenso portafolio de productos de seguridad de la empresa incluye su
reputada solución de protección para endpoints, junto con una serie de soluciones y servicios de seguridad
especializados, así como soluciones Cyber Immune para combatir las sofisticadas y cambiantes amenazas
digitales. Ayudamos a más de 200.000 clientes corporativos a proteger lo que más valoran. Obtenga más
información en https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica
