El nuevo malware SparkKitty afecta a más de 5,000 usuarios de criptomonedas a través de las aplicaciones de Apple y Google

Una nueva forma de spyware móvil está explotando las debilidades de los sistemas de revisión de aplicaciones de Apple y Google para dirigirse a los usuarios de criptomonedas en el sudeste asiático y China.

Apodado SparkKitty, el malware se centra en robar capturas de pantalla de frases semilla de billeteras almacenadas en galerías de teléfonos móviles.

Los investigadores de ciberseguridad de Kaspersky revelaron que el spyware se ha incrustado en aplicaciones aparentemente legítimas, incluidos rastreadores de carteras de criptomonedas y versiones modificadas de aplicaciones populares como TikTok.

La campaña de malware, cuyo linaje se remonta a una variante anterior conocida como SparkCat, ha estado activa desde al menos abril de 2024.

Algunos ejemplos de aplicaciones se remontan incluso más atrás.

Una vez instalado, SparkKitty utiliza permisos engañosos y tecnología de reconocimiento óptico de caracteres (OCR) para identificar y transmitir imágenes que contienen texto confidencial, como frases semilla, un vector de ataque con serias implicaciones para cualquiera que almacene sus frases de recuperación en sus dispositivos.

Infectado aplicaciones criptomonedas eludido la seguridad de la tienda

El análisis de Kaspersky muestra que SparkKitty se infiltró con éxito en la Google Play Store oficial y en la App Store de Apple.

Las aplicaciones afectadas, incluidas Soex Wallet Tracker y Coin Wallet Pro, se disfrazaron de herramientas criptográficas que ofrecían servicios de seguimiento en tiempo real, gestión de carteras y billeteras multicadena.

En un caso, Soex Wallet Tracker se descargó más de 5.000 veces antes de ser eliminado de la lista.

Coin Wallet Pro, que se posicionó como una billetera digital segura, supuestamente ganó tracción a través de anuncios en las redes sociales y canales de Telegram.

Estos canales animaban a los usuarios a descargar la aplicación e instalar perfiles de desarrollador adicionales, sin pasar por los mecanismos normales de revisión de aplicaciones.

Este paso adicional permitió que el malware operara fuera de las protecciones estándar de sandbox que generalmente restringen el acceso a las galerías de fotos y los datos del sistema.

Al preguntar a los usuarios durante actividades específicas, como chats de soporte, SparkKitty podría obtener acceso al almacenamiento de fotos.

Una vez concedido, utilizó el OCR para extraer las frases semilla visibles en las capturas de pantalla.

Estas frases son cruciales para wallet de criptomonedas acceso y recuperación, y perder el control sobre ellas puede llevar a la pérdida total de fondos.

El malware SparkKitty tiene como objetivo el robo visual de datos

A diferencia del malware tradicional que busca acceso directo a aplicaciones de billetera o claves privadas, el enfoque de SparkKitty en las galerías de imágenes indica un cambio hacia la explotación de los hábitos de almacenamiento de datos visuales entre los usuarios.

Muchas personas, especialmente los usuarios más nuevos de criptomonedas, guardan capturas de pantalla de las frases iniciales de su billetera para mayor comodidad.

Esta práctica, aunque desaconsejada por la mayoría de los proveedores de billeteras, sigue siendo común.

SparkKitty aprovecha este comportamiento escaneando miles de imágenes en segundo plano, en busca de cadenas de palabras que coincidan con los formatos comunes de frases semilla.

Una vez identificados, estos se envían de vuelta a servidores remotos controlados por los atacantes.

El modelo de reconocimiento visual del malware parece estar optimizado para las longitudes y formatos de frases semilla utilizados por billeteras populares como MetaMask, Trust Wallet y Phantom.

Kaspersky afirmó que, si bien la mayor parte de las infecciones parecen concentrarse en el sudeste asiático y China, el método de distribución de aplicaciones, a través de las redes sociales y las tiendas de aplicaciones, lo hace altamente escalable.

Ataques similares podrían redirigirse fácilmente a otras regiones o bases de usuarios con modificaciones mínimas en la base de código.

Apple y Google retiran aplicaciones, sistema de revisión bajo escrutinio

Tras la alerta de Kaspersky, Apple y Google eliminaron las aplicaciones marcadas de sus plataformas.

Sin embargo, quedan preguntas sobre cómo estas aplicaciones lograron pasar las revisiones iniciales.

El uso de perfiles de desarrollador para eludir el sandboxing de aplicaciones sugiere una vulnerabilidad en las estructuras de permisos del sistema operativo móvil, especialmente en los casos en los que se convence a los usuarios de otorgar un acceso amplio.

Kaspersky advirtió que la campaña aún puede estar activa en mercados de aplicaciones menos regulados o a través de descargas directas de APK.

Los equipos de seguridad han estado monitoreando patrones de comportamiento similares en las aplicaciones más nuevas, especialmente aquellas asociadas con funciones solo de criptomonedas o herramientas de finanzas descentralizadas (DeFi).

Como medida de precaución, se insta a los usuarios a no guardar frases semilla en sus galerías de fotos y a evitar instalar perfiles desconocidos o dar acceso a la galería a aplicaciones que no sean de confianza.

Varios influencers de criptomonedas y cuentas de seguridad en Twitter y Telegram también han hecho circular advertencias sobre el incidente.

El equipo de Kaspersky continúa rastreando la infraestructura de red de SparkKitty y ha compartido indicadores de compromiso con las autoridades cibernéticas relevantes.