En Resumen
- Kaspersky descubrió el troyano "SparkKitty" que infecta smartphones y sustrae datos sensibles, permitiendo potencialmente a atacantes vaciar billeteras de criptomonedas de las víctimas.
- El malware se incorpora en aplicaciones de trading cripto, apuestas y versiones modificadas de TikTok, solicitando acceso a la galería de fotos para robar capturas de frases semilla.
- SparkKitty se dirige principalmente a víctimas en China y Sudeste Asiático, vinculándose a la campaña SparkCat que utilizó SDK maliciosos para obtener acceso a fotos de usuarios.
Un troyano descubierto recientemente llamado "SparkKitty" está infectando teléfonos inteligentes y sustrayendo datos sensibles, lo que potencialmente permite a los atacantes vaciar las billeteras de criptomonedas de las víctimas, según informó la firma de ciberseguridad Kaspersky en un reporte el martes.
El malware está incorporado en aplicaciones relacionadas con el trading de criptomonedas, apuestas e incluso versiones modificadas de TikTok.
Una vez instalado a través de perfiles de aprovisionamiento engañosos—utilizados para ejecutar aplicaciones de iOS o aplicaciones modificadas—SparkKitty solicita acceso a la galería de fotos. Monitorea los cambios, crea una base de datos local de imágenes robadas y sube las fotos a un servidor remoto.
"Sospechamos que el objetivo principal de los atacantes es encontrar capturas de pantalla de frases semilla de billeteras de criptomonedas", dijo Kaspersky.
Actualmente, el malware se dirige principalmente a víctimas en China y el Sudeste Asiático. Sin embargo, la firma advirtió que no había nada que impidiera su propagación a otras regiones.
En su reporte de 2024, TRM Labs estimó que casi el 70% de los $2.200 millones en criptomonedas robadas el año pasado resultaron de ataques a infraestructura, particularmente aquellos que involucraron el robo de claves privadas y frases semilla.
Dispositivos infectados
Malware como SparkKitty permite tales robos ya que los atacantes pueden usar datos de dispositivos infectados para buscar credenciales de billeteras. Las frases semilla son altamente valiosas porque permiten acceso completo a la billetera de criptomonedas de un usuario.
Se cree que SparkKitty está vinculado a la campaña de spyware SparkCat descubierta por primera vez en enero de 2025, que de manera similar utilizó SDK maliciosos para obtener acceso a fotos en dispositivos de usuarios.
Mientras que SparkCat enfocó su spyware en imágenes con frases semilla utilizando tecnología de Reconocimiento Óptico de Caracteres (OCR), SparkKitty sube fotos indiscriminadamente, presumiblemente para ser procesadas posteriormente.
Su presencia ha sido confirmada tanto en aplicaciones de Android como de iOS en sus respectivas tiendas de aplicaciones, incluyendo aquellas disfrazadas como herramientas temáticas de criptomonedas y modificaciones de TikTok.
SparkKitty se une a una serie de otros malware y troyanos dirigidos a criptomonedas que han ganado popularidad entre los hackers en los últimos años.
Entre ellos, el ladrón de información Noodlophile ha sido encontrado incorporado en herramientas de IA disponibles para descarga en línea, aprovechando el interés actual en torno a la tecnología.
Los hackers construyen sitios de IA de apariencia convincente y luego los promocionan a través de redes sociales para atraer víctimas desprevenidas.
En mayo se dirigió un esfuerzo internacional de aplicación de la ley a investigar una infraestructura clave relacionada con la distribución de otra cepa de malware, LummaC2, que ha sido vinculada a más de 1.700.000 intentos de robo.
LummaC2 tenía como objetivo robar información relacionada con credenciales de inicio de sesión, incluyendo las de billeteras de criptomonedas.
Editado por Sebastian Sinclair