Kaspersky detecta nuevo malware cripto que ataca capturas de pantalla de frases semilla

Una nueva variante de spyware móvil está apuntando a usuarios de criptomonedas robando capturas de pantalla de sus frases semilla, con algunas aplicaciones infectadas burlando las defensas de las tiendas de Apple y Google.

Kaspersky ha descubierto un nuevo tipo de malware cripto para móviles que busca capturas de frases semilla en las galerías de fotos de los usuarios. El malware se distribuía a través de aplicaciones tanto para Android como para iOS, algunas de las cuales lograron colarse en las tiendas oficiales, incluyendo Google Play y la App Store de Apple.

Dirigido principalmente a usuarios del sudeste asiático y China, este nuevo malware bautizado como SparkKitty parece estar relacionado con SparkCat, una campaña maliciosa detectada en enero. Al igual que SparkCat, esta variante se enfoca en robar fotos que contengan información sensible.

El malware se oculta dentro de aplicaciones aparentemente legítimas, incluyendo mods de TikTok, rastreadores de cripto, juegos de apuestas y apps de contenido para adultos. Estas apps engañan a los usuarios para que instalen un perfil de desarrollador especial, lo que permite que el malware opere fuera de las protecciones normales de revisión de aplicaciones del teléfono.

Una vez instalado, el malware espera a que el usuario abra pantallas específicas (como chats de soporte) y luego solicita acceso a la galería de fotos. Si se concede, escanea silenciosamente las imágenes usando reconocimiento óptico de caracteres para identificar y robar capturas que contengan texto.

Muchas de las apps falsas tenían fuertes temáticas relacionadas con cripto, y varias incluían tiendas exclusivas para criptomonedas, lo que sugiere que el objetivo principal era recolectar frases semilla.

Por ejemplo, dos aplicaciones señaladas en los informes fueron Soex Wallet Tracker y Coin Wallet Pro. Soex, que se hacía pasar por un gestor de carteras con funciones de seguimiento en tiempo real, fue descargada más de 5,000 veces desde Google Play antes de ser eliminada.

Coin Wallet Pro, que se anunciaba como una cartera multi-cadena segura, apareció brevemente en la App Store, ganando popularidad a través de anuncios en redes sociales y promociones en Telegram antes de su eliminación.

Kaspersky ha notificado tanto a Apple como a Google, y las aplicaciones afectadas ya han sido eliminadas de sus tiendas. Los investigadores indicaron que la campaña llevaba activa al menos desde abril de 2024, con algunas muestras que se remontan incluso a fechas anteriores.