El spyware SparkKitty, disponible en App Store y Play Store, roba fotos para obtener datos criptográficos.

Los investigadores de ciberseguridad de Kaspersky han informado sobre una nueva operación de spyware, denominada SparkKitty, que ha infectado aplicaciones disponibles tanto en la App Store oficial de Apple como en Google Play.

Este spyware busca robar todas las imágenes de los dispositivos móviles de los usuarios, con el presunto objetivo de obtener información sobre criptomonedas. La campaña lleva activa desde principios de 2024, dirigida principalmente a usuarios del Sudeste Asiático y China.

El spyware SparkKitty se infiltra en los dispositivos mediante aplicaciones aparentemente inofensivas, a menudo camufladas como versiones modificadas de aplicaciones populares como TikTok . En el caso de las versiones maliciosas de TikTok, incluso incluían una tienda en línea falsa, TikToki Mall, que aceptaba criptomonedas a cambio de bienes de consumo y a menudo requería un código de invitación para acceder.

Según el informe de Kaspersky, para los dispositivos iOS, los atacantes utilizan un perfil de aprovisionamiento empresarial especial del Programa para Desarrolladores de Apple. Esto les permite instalar certificados en iPhones que hacen que las aplicaciones maliciosas parezcan fiables, evadiendo así el proceso habitual de revisión de la App Store para su distribución directa.

Además, los actores de amenazas incorporaron su código malicioso modificando bibliotecas de redes de código abierto como AFNetworking.framework y Alamofire.framework , y también lo disfrazaron como libswiftDarwin.dylib .

En Android, Kaspersky encontró el spyware SparkKitty oculto en varias aplicaciones de criptomonedas y casinos. Una de estas aplicaciones, una herramienta de mensajería con funciones de criptomonedas, se descargó más de 10 000 veces de Google Play antes de ser eliminada.

Otra aplicación de Android infectada, distribuida fuera de las tiendas oficiales, tenía una versión similar que se coló en la App Store. Ambas incluían el código malicioso directamente en la propia aplicación, no como un componente independiente.

Una vez instalado, el objetivo principal del spyware SparkKitty es acceder y robar todas las fotos de la galería de un dispositivo. Si bien recopila imágenes en general, parece estar vinculado a un spyware más antiguo llamado SparkCat, que utilizaba el reconocimiento óptico de caracteres ( OCR ), una tecnología que lee texto de imágenes, para encontrar y robar información específica, como frases de recuperación de criptomonedas, en capturas de pantalla.

Algunas versiones de SparkKitty también utilizan OCR para este propósito, aprovechando la biblioteca Google ML Kit para esta función, particularmente en aplicaciones distribuidas a través de páginas web sospechosas que se asemejan a estafas y esquemas Ponzi .

Kaspersky cree que el spyware SparkKitty está directamente relacionado con la campaña anterior SparkCat, descubierta en enero de 2025, y que comparte métodos de distribución similares a través de plataformas de aplicaciones oficiales y no oficiales. Ambas amenazas también parecen centrarse en el robo de criptomonedas. Los atacantes responsables del spyware SparkKitty se dirigieron específicamente a usuarios del Sudeste Asiático y China, a menudo a través de juegos de apuestas y para adultos modificados, así como de las aplicaciones falsas de TikTok .

Si bien descargar aplicaciones de tiendas de terceros siempre es arriesgado, este descubrimiento demuestra que incluso fuentes confiables como las tiendas de aplicaciones oficiales ya no pueden considerarse totalmente fiables. Los usuarios de las regiones afectadas, y de hecho de todo el mundo, deben ser cautelosos con los permisos de las aplicaciones y considerar la legitimidad de cualquier aplicación que solicite acceso inusual, especialmente a las galerías de fotos.