Recomendado

#BTCCOGWEEK: Celebrate the Classics of Meme Coins
Depósito cripto Realice transferencias instantáneas de criptomonedas a su cuenta de futuros
Futuros perpetuos USDT-M Opere con contratos de futuros liquidados en USDT
Descuentos de tasas VIP Disfrute de diferentes descuentos sobre las tasas en función de su nivel VIP
Futuros perpetuos COIN-M Opere con contratos de futuros liquidados en criptomonedas
Depósito fiat Compre sus monedas favoritas en segundos
Afiliados Invite a sus amigos y obtenga recompensas
Convertir Convierta criptomonedas al instante
Centro de soporte Aquí podrá encontrar las preguntas más frecuentes (FAQ)
Anuncios Consulte todos nuestros comunicados y avisos oficiales
BTCC Academy Aprenda sobre blockchain y criptomonedas
Noticias Las últimas tendencias del mercado de criptomonedas

Promociones

Recomendación
Campañas
Registrarse
BTCC / BTCC Square / DarkTokenX /
¿Guardas los detalles de tu billetera o frase semilla como foto en tu teléfono? Este troyano podría estar atacándote

¿Guardas los detalles de tu billetera o frase semilla como foto en tu teléfono? Este troyano podría estar atacándote

Author:
DarkTokenX
Published:
2025-06-24 15:00:49

Una nueva variante de spyware móvil, denominada SparkKitty, ha infiltrando la App Store de Apple y Google Play, haciéndose pasar por aplicaciones temáticas de criptomonedas y modificadas para extraer sigilosamente imágenes de frases semilla y credenciales de billeteras.

El malware parece ser un sucesor de SparkCat, una campaña descubierta a principios de 2025, que utilizaba módulos falsos de chat de soporte para acceder silenciosamente a las galerías de los usuarios y exfiltrar capturas de pantalla sensibles.

SparkKitty lleva la misma estrategia varios pasos más allá, según investigadores de Kaspersky en una publicación del lunes.

A diferencia de SparkCat, que se propaga principalmente a través de paquetes Android no oficiales, SparkKitty ha sido confirmado dentro de múltiples aplicaciones iOS y Android disponibles en tiendas oficiales, incluyendo una aplicación de mensajería con funciones de intercambio de criptomonedas (con más de 10,000 instalaciones en Google Play) y una aplicación iOS llamada "币coin", disfrazada como un rastreador de portafolios.

En el núcleo de la variante iOS se encuentra una versión armada del framework AFNetworking o Alamofire, donde los atacantes incrustaron una clase personalizada que se ejecuta automáticamente al iniciar la aplicación utilizando el selector +load de Objective-C.

Al iniciar, verifica un valor de configuración oculto, obtiene una dirección de comando y control (C2) y escanea la galería del usuario, comenzando a subir imágenes. Una dirección C2 instruye al malware sobre qué hacer, como cuándo robar datos o enviar archivos, y recibe la información robada.

La variante Android utiliza bibliotecas Java modificadas para lograr el mismo objetivo. Se aplica OCR a través de Google ML Kit para analizar imágenes. Si se detecta una frase semilla o una clave privada, el archivo se marca y se envía a los servidores del atacante.

La instalación en iOS se realiza a través de perfiles de aprovisionamiento empresarial, un método destinado a aplicaciones internas empresariales pero a menudo explotado para malware.

Las víctimas son engañadas para que confíen manualmente en un certificado de desarrollador vinculado a "SINOPEC SABIC Tianjin Petrochemical Co. Ltd.", otorgando a SparkKitty permisos a nivel de sistema.

Varias direcciones C2 utilizaban archivos de configuración cifrados con AES-256 alojados en servidores ofuscados.

Una vez descifrados, apuntan a captadores de carga útil y endpoints, como /api/putImages y /api/getImageStatus, donde la aplicación determina si subir o retrasar las transmisiones de fotos.

Los investigadores de Kaspersky descubrieron otras versiones del malware utilizando una biblioteca OpenSSL falsificada (libcrypto.dylib) con lógica de inicialización ofuscada, lo que indica un conjunto de herramientas en evolución y múltiples vectores de distribución.

Aunque la mayoría de las aplicaciones parecen estar dirigidas a usuarios en China y el sudeste asiático, nada en el malware limita su alcance regional.

Apple y Google han eliminado las aplicaciones en cuestión tras la divulgación, pero la campaña probablemente ha estado activa desde principios de 2024 y aún podría estar en curso a través de variantes cargadas lateralmente y tiendas clon, advirtieron los investigadores.

Traducido por DarkTokenX

Por: https://www.coindesk.com/tech/2025/06/24/saving-your-wallet-details-seed-phrase-as-a-photo-on-your-phone-this-trojan-may-be-targeting-you

|Square

Descárguese la aplicación BTCC para empezar su trayectoria cripto

Download on the App Store GEI IT ON Google Play

Empiece hoy mismo Escanéelo y únase a más de 100 millones de usuarios

Exchange for a better future

Productos
Servicios
Guías
Sobre nosotros
Términos y acuerdo de servicio
Servicio de atención al cliente
Redes sociales

Advertencia de riesgo: El comercio de activos digitales es una industria emergente con brillantes perspectivas de futuro, pero también trae aparejada grandes riesgos, ya que se trata de un mercado totalmente nuevo. Este riesgo es especialmente alto al realizar operaciones con apalancamiento, ya que el apalancamiento magnifica los beneficios pero, al mismo tiempo, también amplifica los riesgos. Antes de abrir una posición de inversión, asegúrese de conocer bien la industria, los modelos de trading con apalancamiento y las reglas de trading. Además, también le recomendamos encarecidamente que determine cuál es su tolerancia personal al riesgo y que solo corra los riesgos que esté dispuesto a asumir. Toda inversión u operación conlleva riesgos. Por lo tanto, debe ser prudente al entrar en el mercado.

El intercambio de criptomonedas más antiguo del mundo desde 2011. © 2011 - 2025 BTCC.com. All rights reserved