¿Guardas los detalles de tu billetera o frase semilla como foto en tu teléfono? Este troyano podría estar atacándote

Una nueva variante de spyware móvil, denominada SparkKitty, ha infiltrando la App Store de Apple y Google Play, haciéndose pasar por aplicaciones temáticas de criptomonedas y apps modificadas para extraer sigilosamente imágenes de frases semilla y credenciales de billeteras.

El malware parece ser sucesor de SparkCat, una campaña descubierta a principios de 2025, que utilizaba módulos falsos de chat de soporte para acceder silenciosamente a las galerías de usuarios y exfiltrar capturas de pantalla sensibles.

SparkKitty lleva la misma estrategia varios pasos más allá, según investigadores de Kaspersky en una publicación del lunes.

A diferencia de SparkCat, que se propaga principalmente a través de paquetes Android no oficiales, SparkKitty ha sido confirmado dentro de múltiples aplicaciones iOS y Android disponibles en tiendas oficiales, incluyendo una app de mensajería con funciones de intercambio de criptomonedas (con más de 10,000 instalaciones en Google Play) y una aplicación iOS llamada "币coin", disfrazada como un rastreador de portafolios.

En el núcleo de la variante iOS hay una versión armada del framework AFNetworking o Alamofire, donde los atacantes incrustaron una clase personalizada que se ejecuta automáticamente al iniciar la app usando el selector +load de Objective-C.

Al arrancar, verifica un valor de configuración oculto, obtiene una dirección de comando y control (C2), y escanea la galería del usuario para comenzar a subir imágenes. Una dirección C2 instruye al malware sobre qué hacer, como cuándo robar datos o enviar archivos, y recibe la información robada.

La variante Android utiliza bibliotecas Java modificadas para lograr el mismo objetivo. Se aplica OCR mediante Google ML Kit para analizar imágenes. Si se detecta una frase semilla o clave privada, el archivo se marca y envía a los servidores del atacante.

La instalación en iOS se realiza a través de perfiles de aprovisionamiento empresarial, un método destinado a apps internas de empresas pero frecuentemente explotado para malware.

Las víctimas son engañadas para que confíen manualmente en un certificado de desarrollador vinculado a "SINOPEC SABIC Tianjin Petrochemical Co. Ltd.", otorgando a SparkKitty permisos a nivel del sistema.

Varias direcciones C2 utilizaban archivos de configuración cifrados con AES-256 alojados en servidores ofuscados.

Una vez descifrados, apuntan a captadores de carga útil y endpoints, como /api/putImages y /api/getImageStatus, donde la app determina si subir o retrasar transmisiones de fotos.

Los investigadores de Kaspersky descubrieron otras versiones del malware utilizando una biblioteca OpenSSL falsificada (libcrypto.dylib) con lógica de inicialización ofuscada, indicando un conjunto de herramientas en evolución y múltiples vectores de distribución.

Aunque la mayoría de las apps parecen estar dirigidas a usuarios en China y el sudeste asiático, nada en el malware limita su alcance regional.

Apple y Google han retirado las aplicaciones en cuestión tras la divulgación, pero la campaña probablemente ha estado activa desde principios de 2024 y podría continuar a través de variantes sideloaded y tiendas clon, advirtieron los investigadores.

—Traducido por W4ll3t