-
Escanea y roba imágenes en las galerías de fotos de los móviles.
-
El malware también afecta a aplicaciones de juegos de apuestas y de entretenimiento.
Un nuevo malware amenaza con vaciar wallets de bitcoin (BTC) y de criptomonedas, robando frases semilla reflejadas en capturas de pantalla de dispositivos iOS y Android. Así lo explicó la firma de seguridad Kaspersky el 23 de junio.
Bautizado como SparkKitty, este software malicioso se infiltra en aplicaciones aparentemente legítimas que los usuarios descargan, poniendo en riesgo los fondos de usuarios desprevenidos.
SparkKitty, identificado por Kaspersky en 2024, utiliza tecnología de reconocimiento óptico de caracteres (OCR) para escanear imágenes en la galería de fotos de los dispositivos infectados, entre las que puede haber capturas de pantalla de las frases semilla, secuencias de palabras que permiten recuperar y controlar los monederos de bitcoin y de criptoactivos.
Al obtener acceso a esas frases, los atacantes pueden transferir los fondos a sus propias carteras, dejando a las víctimas sin sus activos digitales.
El malware se distribuye a través de aplicaciones en Google Play y la App Store, así como en tiendas no oficiales. Entre las aplicaciones comprometidas, según el reporte, se encuentran algunas como TikTok (a través de mods falsos que replican la aplicación), juegos de apuestas, aplicaciones de contenido para adultos y herramientas relacionadas con criptomonedas, como Soex Wallet Tracker y Coin Wallet Pro.
Algunas de estas aplicaciones lograron eludir los controles de seguridad de las tiendas oficiales, acumulando miles de descargas antes de ser eliminadas, conforme al reporte de Kaspersky.
“Los datos muestran que esta campaña se centra principalmente en usuarios del Sudeste Asiático y China. Sin embargo, eso no significa que otros países estén fuera del alcance de las garras de SparkKitty. El malware se ha estado propagando desde al menos principios de 2024, y en el último año y medio los atacantes probablemente han considerado expandir su operación a otros países y continentes. Nada los detiene”.
Kaspersky, firma de seguridad.
¿Cómo opera SparkKitty?
El funcionamiento de SparkKitty es alarmantemente simple. Una vez instalada, la aplicación maliciosa solicita acceso a la galería de fotos, un permiso que los usuarios suelen otorgar sin sospechar.
A partir de ahí, escanea todas las imágenes, pudiendo identificar frases semilla de wallets o datos sensibles mediante OCR y los envía a servidores controlados por los atacantes. En algunos casos, el malware utiliza ingeniería social, mostrando advertencias falsas que incitan a los usuarios a guardar sus frases semilla en capturas de pantalla, facilitando el robo.
Este malware es una evolución de SparkCat, identificado por Kaspersky en enero de 2024. A diferencia de su predecesor, SparkKitty no filtra selectivamente las imágenes, sino que roba todas las fotos de la galería, aumentando el riesgo de exposición de datos sensibles, como contraseñas o mensajes privados.
Para evitar ser víctima de SparkKitty, los usuarios deben adoptar medidas de seguridad estrictas. Nunca almacenar frases semilla en capturas de pantalla ni en la galería del dispositivo. En su lugar, se recomienda usar un medio físico seguro, como papel, o en un administrador de contraseñas confiable.
Revisar las aplicaciones instaladas y eliminar aquellas de origen dudoso es otra recomendación de Kaspersky. Además, denegar permisos de acceso a la galería a aplicaciones que no lo requieran y utilizar soluciones antivirus en Android, como Google Play Protect, mitiga estos riesgos.
