Una supuesta aplicación de intercambio de criptomoneda, ?coin, en la App Store
[23/06/2025] Los investigadores de Kaspersky han descubierto un nuevo espía troyano llamado SparkKitty que tiene como objetivo teléfonos inteligentes en iOS y Android. Según lo señalado en el comunicado de prensa, envía imágenes desde un teléfono infectado e información sobre el dispositivo a los atacantes. Este malware estaba incrustado en aplicaciones relacionadas con las criptomonedas y los juegos de azar, así como en una aplicación troyanizada de TikTok, y se distribuyó en App Store y Google Play, así como en sitios web fraudulentos. Los expertos sugieren que el objetivo de los atacantes es robar activos de criptomonedas de los residentes del sudeste asiático y China.
"Kaspersky ha notificado a Google y Apple sobre las aplicaciones maliciosas. Ciertos detalles técnicos sugieren que la nueva campaña de malware está vinculada hasta el troyano SparkCat, el malware (el primero de su tipo en iOS) con un carácter óptico incorporado módulo de reconocimiento (OCR) que le permite escanear galerías de imágenes y robar Capturas de pantalla que contienen frases de recuperación o contraseñas de billeteras de criptomonedas. El caso de SparkKitty es la segunda vez en un año que los investigadores de Kaspersky encontraron un ladrón de troyanos en la App Store, siguiendo a SparkCat”, sostuvo Sergey Puzan, experto en malware de Kaspersky..
Una tienda web falsa incrustado en la supuesta aplicación TikTok.
iOS
El especialista anotó que, en la App Store, el troyano se hizo pasar por una aplicación relacionada con las criptomonedas -?coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de iPhone, el malware era distribuidas bajo la apariencia de TikTok y aplicaciones de juegos de azar.
"Uno de los vectores de distribución del troyano resultaron ser sitios web falsos en los que los atacantes intentaron infectar los iPhones de las víctimas. iOS dispone de varias formas legítimas de instalar programas que no proceden de la App Store. En esta campaña maliciosa, los atacantes utilizaron una de ellas: herramientas de desarrollador especiales para distribuir aplicaciones empresariales corporativas. En la versión infectada de TikTok, durante la autorización, el malware, además de robar fotos de la galería del smartphone, incrustaba enlaces a una tienda sospechosa en la ventana del perfil de la persona. Esta tienda sólo acepta criptomonedas, lo que aumenta nuestra preocupación al respecto", explicó Puzan.
Android
El especialista añadió que los atacantes se dirigieron a usuarios tanto de terceros como de terceros sitios web y en Google Play, haciendo pasar el malware como varias criptomonedas servicios. Por ejemplo, una de las aplicaciones infectadas, un mensajero llamado SOEX con una función de intercambio de criptomonedas, se descargó de la página oficial más de 10 mil veces.
Una supuesta aplicación de intercambio de criptomonedas, SOEX, en Google Play
Los expertos también encontraron archivos APK de aplicaciones infectadas (que pueden instalarse directamente en smartphones Android sin pasar por las tiendas oficiales) en sitios web de terceros que probablemente estén relacionados con la campaña maliciosa detectada. Se posicionan como proyectos de inversión en criptomonedas. Los sitios web en los que se publicaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.
"Una vez instaladas las aplicaciones, funcionaban tal y como prometían en su descripción. Pero al mismo tiempo, las fotos de la galería del smartphone se enviaban a los atacantes. Más tarde, los atacantes podrían intentar encontrar diversos datos confidenciales en las imágenes, por ejemplo, frases de recuperación de criptocarteras para acceder a los activos de las víctimas. Hay indicios indirectos de que los atacantes están interesados en los activos digitales de las personas: muchas de las aplicaciones infectadas estaban relacionadas con cripto, y la aplicación TikTok troyanizada también tenía una tienda integrada que aceptaba el pago de bienes sólo en cripto", finalizó Dmitry Kalinin, experto en malware de Kaspersky.
Franca Cavassa, CTOPerú