SparkKitty: Todo sobre el malware que roba criptomonedas desde el móvil

  • SparkKitty roba imágenes y datos privados de dispositivos Android e iOS.
  • Se distribuye en apps legítimas y falsas, usando técnicas sofisticadas.
  • Su misión principal es obtener frases semilla de carteras cripto para vaciarlas.
  • La prevención y la gestión segura de datos personales son las mejores defensas.
Andy Acosta

11 minutos

Protección antivirus.

Recientemente, la seguridad de los dispositivos móviles ha vuelto a ser noticia debido al descubrimiento de SparkKitty, un peligroso malware que está causando estragos entre usuarios de todo el mundo. Este software malicioso, detectado tanto en Android como en iOS, pone en jaque la seguridad de las carteras de criptomonedas y de la información privada de miles de personas. Si tienes criptomonedas, te interesa mucho entender cómo opera SparkKitty y qué puedes hacer para no caer en sus garras. Hablemos sobre el Malware SparkKitty: qué es y cómo puede robar tus criptomonedas.

La amenaza de SparkKitty no es una exageración. Se trata de un virus sofisticado que ha conseguido saltarse los filtros de las tiendas oficiales de aplicaciones y se está propagando tanto en plataformas legítimas como en canales alternativos. Su objetivo principal es robar frases semilla y datos sensibles de tu móvil a través de las fotos almacenadas, sin que te des cuenta. Vamos a desgranar qué es exactamente SparkKitty, cómo actúa y por qué deberías tomar medidas cuanto antes para proteger tu patrimonio digital.

¿Qué es SparkKitty y por qué representa un riesgo para tus criptomonedas?

SparkKitty es un nuevo malware diseñado para atacar dispositivos móviles con Android e iOS, cuyo principal objetivo es robar datos de criptomonedas y otros datos privados almacenados en imágenes. Fue descubierto por investigadores de ciberseguridad a principios de 2024 y está considerado una evolución del malware SparkCat, identificado anteriormente por Kaspersky. Si SparkCat ya era peligroso por centrarse en capturas de pantalla de frases semilla, SparkKitty va un paso más allá al robar cualquier imagen de tu galería, sin importar su contenido.

Las frases semilla, para quien no esté familiarizado, son combinaciones de palabras que permiten recuperar una cartera de criptomonedas en caso de pérdida o cambio de dispositivo. Es la llave maestra a todos tus fondos digitales. Por comodidad, muchos usuarios las guardan en notas, imágenes o capturas de pantalla. Esta práctica, aunque común, es un grave error de seguridad, ya que un simple acceso a la galería puede significar la pérdida de todos tus activos digitales.

SparkKitty ha sido encontrado en diversas aplicaciones aparentemente inocuas: desde rastreadores de precios, apps de mensajería y monederos cripto, hasta clones falsos de TikTok, juegos de casino y apps con contenido adulto o de apuestas. Algunos de estos programas han llegado a superar las 10.000 descargas antes de ser eliminados de las tiendas oficiales.

El malware no discrimina el tipo de usuario: su propagación ha sido especialmente alta en China y el sudeste asiático, pero los expertos advierten que nada impide que acabe llegando a usuarios de otras regiones, incluyendo España y Latinoamérica. De hecho, la arquitectura del ataque y la diversidad de apps en las que se ha encontrado demuestran que los ciberdelincuentes están dispuestos a ampliar su radio de acción.

¿Cómo consigue SparkKitty infectar tu dispositivo?

La mayor hazaña de SparkKitty ha sido colarse en tiendas oficiales como Google Play y la App Store de Apple camuflado en aplicaciones aparentemente legítimas. Dos de los ejemplos más sonados han sido la app “币coin” (Coin) en iOS, disfrazada de rastreador de información cripto, y la app SOEX en Android, una aplicación de mensajería con funciones de intercambio de monedas digitales. Pero ahí no acaba la cosa, ya que se han detectado también versiones falsas de TikTok y apps de casino o apuestas, muchas veces fuera de los canales oficiales.

En iOS, los atacantes han aprovechado el sistema de perfiles empresariales (provisioning profiles) que Apple ofrece a desarrolladores para distribuir apps fuera de la tienda oficial. Mediante este método, los ciberdelincuentes logran que el usuario instale la aplicación saltándose las restricciones habituales. Además, SparkKitty se camufla en archivos de sistema, como librerías de desarrollo, lo que lo hace más difícil de detectar.

Agencia de Ciberseguridad canal WhatsApp-0

En Android, el malware se disfraza en apps desarrolladas en Java o Kotlin, y algunas integran módulos maliciosos tipo Xposed o LSPosed que otorgan aún más control sobre el sistema. Una vez instalada la app, lo primero que hace SparkKitty es solicitar permiso para acceder al almacenamiento o a la galería de fotos. Si el usuario acepta (algo que ocurre con frecuencia, ya que estas apps parecen normales), el malware comienza su actividad delictiva en segundo plano, sin levantar sospechas.

Asimismo, han proliferado campañas de distribución en webs no oficiales y canales alternativos, especialmente con mods de aplicaciones populares como TikTok, que incitan al usuario a instalar apps fuera de las tiendas oficiales. A menudo, estas páginas simulan ser tiendas en línea o requieren el uso de códigos de invitación y pagos en criptomonedas, añadiendo una capa de ingeniería social al engaño.

¿Cómo funciona SparkKitty una vez que ha infectado el móvil?

Tras conseguir el acceso necesario, SparkKitty analiza de forma silenciosa e invisible todas las imágenes del dispositivo. El malware monitoriza los cambios en la galería, crea una base de datos local con imágenes que aún no han sido robadas y, acto seguido, las sube a un servidor remoto controlado por los atacantes. Su actividad es tan sigilosa que, a simple vista, el usuario no nota nada anormal en el funcionamiento de la aplicación.

En Android, algunas variantes de SparkKitty utilizan Google ML Kit con reconocimiento óptico de caracteres (OCR). Gracias a esto, el malware puede analizar todas las imágenes en busca de texto, localizando así capturas de pantalla que contengan frases semilla, contraseñas o cualquier tipo de dato sensible escrito. Si encuentra alguna, la sube automáticamente junto con metadatos del dispositivo, como identificadores únicos e información adicional.

En iOS, SparkKitty emplea código específico en Objective-C que le permite ejecutarse en cuanto se abre la aplicación infectada. Antes de iniciar la exfiltración, el troyano verifica que está en el entorno correcto y, si todo cuadra, comienza a enviar las fotografías a sus servidores. Algunas variantes incluso utilizan archivos cifrados con algoritmos robustos (como AES-256) para dificultar su análisis por parte de los expertos en ciberseguridad.

En versiones más sofisticadas, SparkKitty puede utilizar técnicas de ingeniería social: muestra advertencias o recomendaciones falsas para que el propio usuario guarde sus frases semilla en capturas de pantalla, facilitando aún más el robo. Como todo ocurre de forma sincrónica al uso normal de la app, la gran mayoría de las víctimas no sospechan nada hasta que sus fondos han desaparecido.

Aplicaciones detectadas y vectores de ataque conocidos

Seguridad Android

Entre las apps que han propagado SparkKitty se encuentran:

  • 币coin (App Store de Apple): Disfrazada de rastreador de criptomonedas.
  • SOEX (Google Play): Mensajería con funciones de criptoexchange, que superó las 10.000 descargas antes de ser retirada.
  • Clones falsos de TikTok: Distribuidos a través de perfiles empresariales o webs alternativas, especialmente en Android.
  • Apps de casino y apuestas, y aplicaciones para adultos: Otro vector habitual fuera de tiendas oficiales.

En la actualidad, Google y Apple han eliminado las aplicaciones detectadas de sus respectivas tiendas, y han suspendido a los desarrolladores responsables. Sin embargo, el peligro persiste para los usuarios que las descargaron cuando aún estaban disponibles o las consiguieron vía fuentes alternativas. La rapidez y capacidad de adaptación de estos ciberataques obligan a extremar la precaución.

Además de SparkKitty, otras amenazas similares como SparkCat o Noodlophile han aparecido incorporadas en herramientas de IA, juegos y aplicaciones de moda. El auge de los recursos de inteligencia artificial está siendo aprovechado por ciberdelincuentes que lanzan sitios web aparentemente legítimos e incluso promueven estas apps a través de redes sociales.

¿A quiénes afecta principalmente SparkKitty?

El objetivo prioritario de SparkKitty son los usuarios de criptomonedas residenciados en el sudeste asiático y China, donde las apps maliciosas han proliferado más rápidamente debido a la popularidad de las criptos y la costumbre de almacenar datos sensibles digitalmente.

No obstante, los expertos insisten en que la amenaza no está limitada a esas regiones. Cualquier usuario que descargue una app infectada, especialmente si guarda frases semilla, contraseñas o información privada en el móvil, se convierte en una potencial víctima, sin importar el país en el que viva.

Hackers no pueden hacer su trabajo con antivirus gratuitos para Android.

La técnica no depende de una vulnerabilidad específica del sistema operativo o de la ubicación física del usuario. Mientras haya información valiosa en las imágenes capturadas con el teléfono, SparkKitty puede lograr su objetivo. Además, su continua actualización y uso de canales alternativos para distribuirse hace que la amenaza esté muy viva en la actualidad.

¿Qué riesgos concretos supone SparkKitty y qué otras consecuencias puede acarrear?

El impacto más inmediato y devastador es el robo de criptomonedas mediante el acceso a frases semilla robadas en capturas de pantalla o imágenes almacenadas. Al obtener estas palabras, los atacantes pueden restaurar la cartera de la víctima en otro dispositivo y vaciarla en cuestión de minutos.

Pero el peligro no acaba ahí. SparkKitty roba toda la galería del móvil, por lo que otras imágenes personales pueden ser usadas para chantaje, extorsión y otras actividades delictivas. Si tus fotos almacenan información privada, financiera o simplemente comprometedora, pueden acabar en manos equivocadas y emplearse para obtener un beneficio ilícito.

El malware también puede recopilar metadatos e identificadores del dispositivo. Esto permitiría a los atacantes elaborar perfiles más detallados de las víctimas y lanzar ataques más personalizados en el futuro. Además, la información sustraída no se limita solo a criptomonedas. Pueden aparecer credenciales de acceso, datos bancarios o cualquier información sensible que haya quedado reflejada en una imagen.

Recomendaciones para protegerse de SparkKitty y otros malware similares

La prevención es la mejor arma contra SparkKitty y amenazas similares. Aquí tienes un listado con las principales medidas que recomiendan los expertos en ciberseguridad:

Virus informático.

  • Jamás guardes tu frase semilla en imágenes, capturas de pantalla, notas o documentos digitales. Lo más seguro es anotarla en papel y almacenarla en un lugar físico seguro, o utilizar un gestor de contraseñas de confianza que cifre la información.
  • Elimina rápidamente cualquier app sospechosa que solicite permisos de acceso a la galería o almacenamiento y que no sea imprescindible para tu día a día. Fíjate en el número de descargas y la reputación del desarrollador antes de instalar cualquier aplicación, incluso si está en una tienda oficial.
  • Revisa y revoca permisos innecesarios en las apps instaladas. Si una app de apuestas, cámara o mensajería pide acceso a tus fotos sin justificación, es mejor no dárselo.
  • Evita instalar perfiles de aprovisionamiento o certificados en iOS que no provengan de fuentes fiables. En Android, mantén siempre activo Google Play Protect y utiliza antivirus de confianza.
  • Valora la utilización de monederos físicos o «cold wallets» para fondos importantes. Los dispositivos offline no son accesibles por ninguna aplicación instalada en el teléfono.
  • Realiza auditorías y pruebas de seguridad periódicas en tus dispositivos y servicios relacionados con criptomonedas.
  • Infórmate y mantente alerta sobre nuevas amenazas. La seguridad es una carrera de fondo: siguen apareciendo variantes nuevas de malware cada poco tiempo.

SparkKitty debe ser tomado en serio

Para usuarios avanzados y empresas, el uso de hardware wallets, módulos de seguridad dedicados (HSM), y la implementación de políticas de multi-firma pueden ofrecer un nivel de protección superior. Además, muchas soluciones modernas empiezan a integrar inteligencia artificial para detectar comportamientos sospechosos de apps antes de que el usuario sea víctima.

El auge de SparkKitty es un claro recordatorio de que, en el mundo de las criptomonedas y la tecnología móvil, la seguridad nunca es absoluta. Aunque los desarrolladores de Google y Apple trabajan constantemente en endurecer sus filtros de seguridad, los ciberdelincuentes evolucionan igual de rápido. Hoy más que nunca, la responsabilidad de proteger los activos digitales recae directamente sobre los usuarios. Ser cuidadoso con las aplicaciones que se instalan, vigilar los permisos y evitar almacenar datos críticos en el móvil son hábitos básicos que pueden marcar la diferencia entre mantener tus fondos a salvo o perderlo todo en cuestión de segundos.

Malware en móvil
Artículo relacionado:
Cómo saber si mi móvil Android está infectado de malware