Los investigadores de seguridad de Kaspersky han descubierto una campaña de malware móvil dirigida a usuarios de criptomonedas a través de aplicaciones infectadas.
Se informa que el spyware SparkKitty roba capturas de pantalla de dispositivos que contienen frases semilla utilizando tecnología de reconocimiento óptico de caracteres en plataformas iOS y Android a través de tiendas de aplicaciones oficiales.
El malware SparkKitty se infiltra en tiendas de aplicaciones oficiales dirigidas a criptomonedas
Los investigadores de Kaspersky descubrieron la campaña de spyware SparkKitty en enero de 2025, después de su identificación previa del malware SparkCat dirigido a billeteras de criptomonedas. La nueva amenaza distribuye aplicaciones maliciosas a través de fuentes no oficiales así como de las plataformas oficiales de Google Play y App Store, con aplicaciones infectadas ya eliminadas de Google Play tras las notificaciones de los investigadores.
SparkKitty ataca plataformas iOS y Android con múltiples mecanismos de entrega para cada una. En iOS, las cargas útiles de malware se entregan a través de frameworks que se hacen pasar por bibliotecas legítimas como AFNetworking.framework o Alamofire.framework, o bibliotecas ofuscadas que se hacen pasar por libswiftDarwin.dylib. El malware también se inserta directamente en las aplicaciones.
Los sistemas operativos Android emplean tanto lenguajes Java como Kotlin, con versiones de Kotlin utilizadas como módulos Xposed maliciosos. La mayoría de las versiones de malware secuestran indiscriminadamente todas las imágenes en los dispositivos, aunque los investigadores detectaron agrupaciones maliciosas similares que emplean reconocimiento óptico de caracteres para atacar imágenes específicas con información sensible.
La campaña ha estado activa desde al menos febrero de 2024, y también ha compartido tácticas de orientación e infraestructura con la operación anterior de SparkCat.
SparkKitty tiene un alcance más amplio que el ataque dirigido de SparkCat a frases semilla de criptomonedas porque recopila todas las imágenes disponibles desde dispositivos infectados. Esto tiene el potencial de cosechar otros tipos de información financiera y personal sensible almacenada en las galerías de los dispositivos.
Los mods de TikTok de tiendas obscuras sirven como vector principal de infección
Los analistas de Kaspersky se encontraron inicialmente con la campaña al rastrear enlaces sospechosos que propagaban modificaciones de aplicaciones de TikTok para Android. Las aplicaciones modificadas ejecutaban código de malware adicional cuando los usuarios lanzaban las actividades principales de la aplicación.
Las URL de los archivos de configuración se presentaron como botones dentro de las aplicaciones comprometidas, lanzando sesiones de WebView para mostrar TikToki Mall, un portal de compras por internet que acepta criptomonedas para artículos de consumo.
El registro y la compra estaban restringidos para requerir códigos de invitación, por lo que los investigadores no pudieron determinar la legitimidad de la tienda o si estaba operativa. Los vectores de infección de iOS explotan perfiles empresariales del Programa de Desarrolladores de Apple para eludir las restricciones normales de instalación de aplicaciones.
Captura de pantalla de una aplicación infectada en la App Store
Los atacantes secuestran certificados empresariales para la distribución de aplicaciones a nivel organizacional, lo que permite que aplicaciones maliciosas se instalen en cualquier dispositivo sin la aprobación de la App Store. El uso indebido de perfiles empresariales es una táctica común empleada por desarrolladores de aplicaciones inapropiadas como casinos en línea, cracks de software y modificaciones ilegales.
Las versiones infectadas de las aplicaciones de TikTok para iOS solicitan permisos de acceso a la galería de fotos durante el inicio, lo cual está ausente en las versiones genuinas de TikTok. El malware está integrado en frameworks que pretenden ser AFNetworking.framework y clases de AFImageDownloader manipuladas, así como otros componentes de AFImageDownloaderTool.
Las variantes de malware para Android roban imágenes a través de aplicaciones temáticas de criptomonedas
Las versiones de Android de SparkKitty operan a través de aplicaciones temáticas de criptomonedas con código malicioso incrustado en los puntos de entrada. El malware solicita archivos de configuración que contienen direcciones de servidores de comando y control, descifrándolos usando cifrado AES-256 en modo ECB antes de establecer comunicación con servidores remotos.
El robo de imágenes ocurre a través de procesos de dos etapas que involucran la huella digital del dispositivo y mecanismos de carga selectiva. El malware crea hashes MD5 combinando el IMEI del dispositivo, direcciones MAC y UUID aleatorios, almacenando estos identificadores en archivos en el almacenamiento externo.
Flujo de instalación del perfil. Fuente: Kaspersky
Las aplicaciones de casino utilizan integración del framework LSPosed, funcionando como módulos Xposed maliciosos que enganchan los puntos de entrada de la aplicación. Una aplicación de mensajería infectada con características de intercambio de criptomonedas alcanzó más de 10,000 instalaciones en Google Play antes de ser eliminada tras las notificaciones de Kaspersky.
Las aplicaciones web progresivas se propagan a través de plataformas de estafa que publicitan esquemas Ponzi en populares plataformas de redes sociales. Estas páginas que contienen PWA invitan a los usuarios a descargar archivos APK que registran controladores de descarga de contenido, procesando imágenes JPEG y PNG a través de la tecnología de reconocimiento óptico de caracteres de Google ML Kit para identificar capturas de pantalla que contienen texto.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprende cómo hacerlo con DeFi en nuestra próxima clase en línea. Reserva tu lugar