Esta muestra marca el inicio de una nueva generación de malware que apunta directamente a vulnerabilidades en sistemas de IA.
El malware se infiltró a través de los stores de los martphones
Seguridad

SparkKitty: cómo funciona el troyano espía que logró infiltrarse en App Store y Google Play

Kaspersky detectó un malware que se oculta en aplicaciones móviles para acceder a fotos del usuario y extraer datos vinculados a criptomonedas.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email julio 10, 2025
3 minutos de lectura

Un nuevo troyano espía volvió a encender las alertas en el mundo móvil. Se trata de SparkKitty, un malware detectado por los analistas de Kaspersky que logró infiltrarse tanto en Google Play como en la App Store, escondido en aplicaciones relacionadas con criptomonedas, apuestas y versiones modificadas de TikTok. Una vez instalado en el dispositivo, SparkKitty extrae imágenes, analiza datos sensibles en la galería del usuario y permite a los atacantes acceder a activos digitales como billeteras cripto o cuentas protegidas por claves visuales.

Según Kaspersky, esta es la segunda vez en un año que se detecta un troyano con estas características dentro de la tienda oficial de Apple, lo que demuestra una creciente sofisticación de los cibercriminales para esquivar los filtros de seguridad de las grandes plataformas.

Cómo opera SparkKitty en iPhone y Android

En el caso de los dispositivos iOS, SparkKitty fue detectado en una aplicación llamada 币coin, que simulaba ser un servicio de inversión en criptomonedas. También se propagó mediante páginas de phishing que imitaban la App Store, distribuyendo una versión troyanizada de TikTok que funcionaba como un mod de la app original. Esta versión falsa robaba fotos del dispositivo durante el inicio de sesión e insertaba una tienda dentro del perfil del usuario que solo aceptaba pagos en criptomonedas.

Publicaciones relacionadas

Los atacantes utilizaron certificados empresariales y herramientas de desarrollador para evadir las restricciones del ecosistema Apple, explotando un canal legítimo pero vulnerable: los perfiles de aprovisionamiento.

“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo, como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores», explicó Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis de Kaspersky para América Latina.

En la misma línea, agregó: «Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok, que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines maliciosos”.

En Android, la amenaza se propagó tanto desde sitios web fraudulentos como desde Google Play. Una de las apps infectadas, el mensajero SOEX con funciones de intercambio cripto, superó las 10.000 descargas en la tienda oficial, lo que confirma el alcance masivo de esta campaña.

SparkKitty: cómo funciona el troyano espía que logró infiltrarse en App Store y Google Play
Tanto en iOS como en Android, SparkKitty logró infiltrarse a través de apps falsas

Fotos, frases de recuperación y activos digitales

Lo más preocupante de SparkKitty no es solo su capacidad para espiar la galería del usuario, sino lo que busca: frases de recuperación, capturas de contraseñas, claves de acceso o cualquier tipo de información visual que pueda servir para vulnerar la seguridad de una billetera de criptomonedas.

Al igual que SparkCat —un troyano previo que también atacó iOS— SparkKitty incorpora tecnología OCR (reconocimiento óptico de caracteres), lo que le permite identificar texto en imágenes y filtrar contenido útil para los atacantes. Los expertos de Kaspersky destacan que muchas apps infectadas tenían en común el foco en criptoactivos y que la tienda integrada en la app falsa de TikTok solo aceptaba pagos en criptomonedas, lo que refuerza la hipótesis del robo digital como motivación principal.

Consejos para protegerse del troyano SparkKitty

Frente a esta nueva amenaza, Kaspersky recomienda a los usuarios:

  • Eliminar inmediatamente cualquier app sospechosa o relacionada con criptomonedas que no provenga de una fuente verificada.

  • Evitar guardar en la galería capturas de pantalla con información sensible, como claves, frases de recuperación o contraseñas.

  • Revisar los permisos que solicitan las apps antes de instalarlas, especialmente el acceso a fotos y archivos.

  • Instalar soluciones de seguridad confiables, como Kaspersky Premium, que pueden detectar comportamientos anómalos y bloquear conexiones maliciosas incluso en iOS, donde el control de las apps es más restrictivo.

El caso SparkKitty vuelve a poner sobre la mesa la necesidad de una mayor vigilancia sobre las tiendas de aplicaciones oficiales, pero también de una cultura de ciberseguridad más activa por parte de los usuarios. En un mundo donde los activos digitales ganan terreno, proteger las claves es tan importante como cuidar la billetera física.

LEER MÁS:

SafePay irrumpe con fuerza en 2025 y expone fallas críticas

Qué es Xanthorox AI y por qué es la nueva amenaza más temida en ciberseguridad

Seguridad en OT con IA predictiva: anticipando incidentes en infraestructura crítica

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email julio 10, 2025
3 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

Oscar Chavez-Arrieta, vicepresidente ejecutivo de SonicWall Latinoamérica.

La fórmula de SonicWall: adaptación local, partners fuertes y crecimiento sostenido

Investigadores de Check Point alertan sobre el aumento récord en el robo de credenciales, una práctica que se ha vuelto más automatizada y difícil de detectar en 2025.

Check Point: El robo de credenciales se dispara un 160% en 2025

La IA impresiona, pero no entiende: un repaso histórico para no olvidar sus límites.

No es inteligencia, es cálculo: lo que Turing y Feynman ya sabían sobre la IA

El fraude fintech en América Latina: cómo la tecnología se convierte en la primera línea de defensa

El fraude fintech en América Latina: cómo la tecnología se convierte en la primera línea de defensa

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba