¿La tienda oficial se ha convertido en un caldo de cultivo para "troyanos"? Exponiendo a SparkKitty: una caza precisa contra la frase mnemotécnica del álbum.
Análisis de ataque: la evolución "invisible" de SparkCat a SparkKitty
El 23 de junio de 2025, el equipo de investigación de amenazas de Kaspersky reveló por primera vez SparkKitty, calificándolo de "malware robador de imágenes altamente sigiloso". El virus comparte el mismo origen que el malware SparkCat descubierto a principios de 2024 y comparte una estructura de código y un modus operandi de ataque similares, pero con técnicas más sofisticadas. Según los analistas de Kaspersky, la primera actividad de SparkKitty se remonta a febrero de 2024, inicialmente dirigida al sudeste asiático y China, infiltrándose en los dispositivos de los usuarios disfrazados de aplicaciones de criptomonedas, juegos de azar y mensajería.
El objetivo principal de SparkKitty es robar todas las imágenes de la galería, enfocándose en las capturas de pantalla de las frases semilla de las billeteras de criptomonedas. Las frases semilla son el único comprobante para recuperar una billetera de criptomonedas; una vez que se filtran, los atacantes pueden controlar directamente la billetera del usuario y transferir todos los activos. En comparación con SparkCat, la tecnología OCR (reconocimiento óptico de caracteres) de SparkKitty es más eficiente; algunas variantes utilizan Google ML Kit OCR, subiendo solo imágenes que contienen texto, reduciendo la carga en el servidor y aumentando la eficiencia del robo. Además, el virus también recopila identificadores de dispositivos, cookies de navegador y otros datos sensibles, aumentando el riesgo de robo de identidad e intrusión en cuentas.
Rompiendo el jardín amurallado: ¿cómo se convierte la tienda oficial en el mayor vector de ataque?
Lo más alarmante de SparkKitty es que logró romper los canales de distribución de aplicaciones que se consideraban más seguros: la Apple App Store y Google Play.
El mecanismo de revisión de las tiendas de aplicaciones oficiales se muestra impotente en esta guerra de ataque y defensa. Los atacantes utilizan la estrategia de "Caballo de Troya" para disfrazar el código malicioso en aplicaciones que parecen inofensivas:
La pérdida de control de la App Store: una aplicación llamada "币coin" se ha lanzado con éxito, disfrazada como una interfaz de seguimiento de criptomonedas sencilla. Aprovecha la confianza de los usuarios en las herramientas de mercado para inducirlos a otorgar acceso a sus álbumes.
La zona de desastre de Google Play: una aplicación de mensajería llamada "SOEX" que afirma ofrecer funciones de "chat y transacciones encriptadas", ha acumulado más de 10,000 descargas. Además, se ha confirmado que las aplicaciones de juegos de azar y para adultos son también importantes medios de propagación. Según estadísticas, desde la época de SparkCat hasta ahora, la cantidad total de descargas de aplicaciones maliciosas relacionadas en Google Play ha superado las 242,000.
Además de los canales oficiales, los atacantes también se apoyan en una matriz de difusión multidimensional:
Distribución de APK no oficial: distribución de paquetes de instalación de APK disfrazados como versiones pirateadas de TikTok, juegos de cadena populares o aplicaciones de apuestas a través de anuncios de YouTube, grupos de Telegram y sitios de descarga de terceros.
Abuso de certificados empresariales de iOS: aprovechando el programa de desarrolladores empresariales de Apple, eludiendo la rigurosa revisión de la App Store, instalando aplicaciones directamente en los dispositivos de los usuarios a través de enlaces web.
Estas aplicaciones, al instalarse y ejecutarse, a menudo envuelven sus solicitudes de permisos (como acceder a la galería) como necesidades funcionales centrales de la aplicación, lo que facilita que los usuarios autoricen sin darse cuenta, permitiendo así que el lobo entre en la casa.
Miles de personas afectadas, activos a cero: una "guerra relámpago" de "localización" dirigida al mercado asiático
Los mercados del sudeste asiático y de China se han convertido en los principales objetivos de SparkKitty. No es una coincidencia, sino una estrategia de "localización" cuidadosamente planificada:
Perfiles de usuario precisos: Estas áreas son mercados altamente activos para criptomonedas y aplicaciones de apuestas móviles, con una gran base de usuarios y una conciencia de seguridad relativamente baja.
Cebo cultural y lingüístico: los nombres de las aplicaciones (como "币coin"), el diseño de la interfaz y el texto promocional utilizan un lenguaje localizado, e incluso incorporan elementos de juegos de azar populares en la localidad, lo que reduce enormemente la desconfianza de los usuarios.
A pesar de que los ataques se centran en Asia, Kaspersky advierte que SparkKitty es técnicamente sin fronteras, y su código puede ser fácilmente modificado para atacar a usuarios en cualquier región del mundo. En X (anteriormente Twitter), expertos en seguridad y KOLs de criptomonedas han lanzado una alerta masiva, instando a los usuarios a autoevaluarse, y el pánico del evento se está extendiendo por toda la comunidad criptográfica global. Su peligrosidad es de múltiples capas:
Los activos se evaporan al instante: la frase de recuperación es la única llave para restaurar la billetera. Una vez que se filtra, los atacantes pueden transferir todos los activos criptográficos del usuario en cuestión de minutos, y es casi imposible recuperarlos.
Privacidad completamente expuesta: en la galería de fotos puede haber una gran cantidad de información privada, como identificaciones, pasaportes, tarjetas bancarias y fotos familiares. Si esta información es aprovechada por actividades delictivas, las consecuencias pueden ser inimaginables.
Cuentas en cadena: Las cookies y credenciales robadas pueden llevar a la toma de control de las cuentas de redes sociales, correos electrónicos e incluso cuentas bancarias de los usuarios.
Reflexión: Cuando las capturas de pantalla de las frases mnemotécnicas se convierten en el "talón de Aquiles"
La plataforma está en acción. Google ha retirado las aplicaciones relacionadas, y Apple también ha prohibido cerca de cien cuentas de desarrolladores debido al incidente de SparkCat. Pero esto se asemeja más a un interminable juego de "golpear topos". Mientras los atacantes puedan seguir encontrando vulnerabilidades en el mecanismo de revisión, nuevos "troyanos" seguirán apareciendo sin cesar.
El evento SparkKitty ha sonado la alarma para toda la industria, exponiendo varias dificultades profundas:
La crisis de confianza en las tiendas de aplicaciones: la creencia de los usuarios en que las tiendas oficiales son "absolutamente seguras" ha sido destruida. Las plataformas necesitan introducir mecanismos de detección de comportamiento dinámico más proactivos e inteligentes, en lugar de depender únicamente de análisis de código estático.
La eterna contradicción entre la comodidad del usuario y la seguridad: para mayor comodidad, los usuarios tienden a respaldar los datos más importantes de la manera más simple: tomando capturas de pantalla. Este patrón de comportamiento es precisamente el eslabón más débil en el sistema de seguridad.
El dilema de la "última milla" de la seguridad criptográfica: no importa cuán segura sea una billetera de hardware o cuán descentralizado sea un protocolo DeFi, si el usuario comete un error en la gestión de las palabras clave en esta "última milla", todas las defensas serán inútiles.
¿Cómo protegerse? Más vale prevenir que lamentar.
Erradicar malos hábitos, copia de seguridad física: abandonar por completo la costumbre de usar álbumes, notas o cualquier servicio de nube conectado para almacenar frases de recuperación. Volver a la forma más primitiva y segura: hacer copias de seguridad físicas a mano y guardarlas en lugares seguros en diferentes ubicaciones.
Principio de menor privilegio: proteja los permisos de su teléfono como un tacaño. Cualquier solicitud de acceso a álbumes, contactos o ubicación que no sea necesaria debe ser rechazada.
Establecer un entorno de "sala limpia": considere usar un viejo teléfono móvil especializado y aislado de la red para gestionar activos criptográficos, sin instalar ninguna aplicación de origen desconocido.
SparkKitty puede ser erradicado, pero el próximo "Kitty" ya está en gestación. Este ataque nos recuerda que la seguridad en el mundo Web3 no es solo una guerra de código y protocolos, sino una lucha continua sobre la humanidad, los hábitos y la percepción. Mantenerse alerta ante la conveniencia absoluta es una lección obligatoria para cada ciudadano digital.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿La tienda oficial se ha convertido en un caldo de cultivo para "troyanos"? Exponiendo a SparkKitty: una caza precisa contra la frase mnemotécnica del álbum.
Análisis de ataque: la evolución "invisible" de SparkCat a SparkKitty
El 23 de junio de 2025, el equipo de investigación de amenazas de Kaspersky reveló por primera vez SparkKitty, calificándolo de "malware robador de imágenes altamente sigiloso". El virus comparte el mismo origen que el malware SparkCat descubierto a principios de 2024 y comparte una estructura de código y un modus operandi de ataque similares, pero con técnicas más sofisticadas. Según los analistas de Kaspersky, la primera actividad de SparkKitty se remonta a febrero de 2024, inicialmente dirigida al sudeste asiático y China, infiltrándose en los dispositivos de los usuarios disfrazados de aplicaciones de criptomonedas, juegos de azar y mensajería.
El objetivo principal de SparkKitty es robar todas las imágenes de la galería, enfocándose en las capturas de pantalla de las frases semilla de las billeteras de criptomonedas. Las frases semilla son el único comprobante para recuperar una billetera de criptomonedas; una vez que se filtran, los atacantes pueden controlar directamente la billetera del usuario y transferir todos los activos. En comparación con SparkCat, la tecnología OCR (reconocimiento óptico de caracteres) de SparkKitty es más eficiente; algunas variantes utilizan Google ML Kit OCR, subiendo solo imágenes que contienen texto, reduciendo la carga en el servidor y aumentando la eficiencia del robo. Además, el virus también recopila identificadores de dispositivos, cookies de navegador y otros datos sensibles, aumentando el riesgo de robo de identidad e intrusión en cuentas.
Rompiendo el jardín amurallado: ¿cómo se convierte la tienda oficial en el mayor vector de ataque?
Lo más alarmante de SparkKitty es que logró romper los canales de distribución de aplicaciones que se consideraban más seguros: la Apple App Store y Google Play.
El mecanismo de revisión de las tiendas de aplicaciones oficiales se muestra impotente en esta guerra de ataque y defensa. Los atacantes utilizan la estrategia de "Caballo de Troya" para disfrazar el código malicioso en aplicaciones que parecen inofensivas:
La pérdida de control de la App Store: una aplicación llamada "币coin" se ha lanzado con éxito, disfrazada como una interfaz de seguimiento de criptomonedas sencilla. Aprovecha la confianza de los usuarios en las herramientas de mercado para inducirlos a otorgar acceso a sus álbumes.
La zona de desastre de Google Play: una aplicación de mensajería llamada "SOEX" que afirma ofrecer funciones de "chat y transacciones encriptadas", ha acumulado más de 10,000 descargas. Además, se ha confirmado que las aplicaciones de juegos de azar y para adultos son también importantes medios de propagación. Según estadísticas, desde la época de SparkCat hasta ahora, la cantidad total de descargas de aplicaciones maliciosas relacionadas en Google Play ha superado las 242,000.
Además de los canales oficiales, los atacantes también se apoyan en una matriz de difusión multidimensional:
Distribución de APK no oficial: distribución de paquetes de instalación de APK disfrazados como versiones pirateadas de TikTok, juegos de cadena populares o aplicaciones de apuestas a través de anuncios de YouTube, grupos de Telegram y sitios de descarga de terceros.
Abuso de certificados empresariales de iOS: aprovechando el programa de desarrolladores empresariales de Apple, eludiendo la rigurosa revisión de la App Store, instalando aplicaciones directamente en los dispositivos de los usuarios a través de enlaces web.
Estas aplicaciones, al instalarse y ejecutarse, a menudo envuelven sus solicitudes de permisos (como acceder a la galería) como necesidades funcionales centrales de la aplicación, lo que facilita que los usuarios autoricen sin darse cuenta, permitiendo así que el lobo entre en la casa.
Miles de personas afectadas, activos a cero: una "guerra relámpago" de "localización" dirigida al mercado asiático
Los mercados del sudeste asiático y de China se han convertido en los principales objetivos de SparkKitty. No es una coincidencia, sino una estrategia de "localización" cuidadosamente planificada:
Perfiles de usuario precisos: Estas áreas son mercados altamente activos para criptomonedas y aplicaciones de apuestas móviles, con una gran base de usuarios y una conciencia de seguridad relativamente baja.
Cebo cultural y lingüístico: los nombres de las aplicaciones (como "币coin"), el diseño de la interfaz y el texto promocional utilizan un lenguaje localizado, e incluso incorporan elementos de juegos de azar populares en la localidad, lo que reduce enormemente la desconfianza de los usuarios.
A pesar de que los ataques se centran en Asia, Kaspersky advierte que SparkKitty es técnicamente sin fronteras, y su código puede ser fácilmente modificado para atacar a usuarios en cualquier región del mundo. En X (anteriormente Twitter), expertos en seguridad y KOLs de criptomonedas han lanzado una alerta masiva, instando a los usuarios a autoevaluarse, y el pánico del evento se está extendiendo por toda la comunidad criptográfica global. Su peligrosidad es de múltiples capas:
Los activos se evaporan al instante: la frase de recuperación es la única llave para restaurar la billetera. Una vez que se filtra, los atacantes pueden transferir todos los activos criptográficos del usuario en cuestión de minutos, y es casi imposible recuperarlos.
Privacidad completamente expuesta: en la galería de fotos puede haber una gran cantidad de información privada, como identificaciones, pasaportes, tarjetas bancarias y fotos familiares. Si esta información es aprovechada por actividades delictivas, las consecuencias pueden ser inimaginables.
Cuentas en cadena: Las cookies y credenciales robadas pueden llevar a la toma de control de las cuentas de redes sociales, correos electrónicos e incluso cuentas bancarias de los usuarios.
Reflexión: Cuando las capturas de pantalla de las frases mnemotécnicas se convierten en el "talón de Aquiles"
La plataforma está en acción. Google ha retirado las aplicaciones relacionadas, y Apple también ha prohibido cerca de cien cuentas de desarrolladores debido al incidente de SparkCat. Pero esto se asemeja más a un interminable juego de "golpear topos". Mientras los atacantes puedan seguir encontrando vulnerabilidades en el mecanismo de revisión, nuevos "troyanos" seguirán apareciendo sin cesar.
El evento SparkKitty ha sonado la alarma para toda la industria, exponiendo varias dificultades profundas:
La crisis de confianza en las tiendas de aplicaciones: la creencia de los usuarios en que las tiendas oficiales son "absolutamente seguras" ha sido destruida. Las plataformas necesitan introducir mecanismos de detección de comportamiento dinámico más proactivos e inteligentes, en lugar de depender únicamente de análisis de código estático.
La eterna contradicción entre la comodidad del usuario y la seguridad: para mayor comodidad, los usuarios tienden a respaldar los datos más importantes de la manera más simple: tomando capturas de pantalla. Este patrón de comportamiento es precisamente el eslabón más débil en el sistema de seguridad.
El dilema de la "última milla" de la seguridad criptográfica: no importa cuán segura sea una billetera de hardware o cuán descentralizado sea un protocolo DeFi, si el usuario comete un error en la gestión de las palabras clave en esta "última milla", todas las defensas serán inútiles.
¿Cómo protegerse? Más vale prevenir que lamentar.
Erradicar malos hábitos, copia de seguridad física: abandonar por completo la costumbre de usar álbumes, notas o cualquier servicio de nube conectado para almacenar frases de recuperación. Volver a la forma más primitiva y segura: hacer copias de seguridad físicas a mano y guardarlas en lugares seguros en diferentes ubicaciones.
Principio de menor privilegio: proteja los permisos de su teléfono como un tacaño. Cualquier solicitud de acceso a álbumes, contactos o ubicación que no sea necesaria debe ser rechazada.
Establecer un entorno de "sala limpia": considere usar un viejo teléfono móvil especializado y aislado de la red para gestionar activos criptográficos, sin instalar ninguna aplicación de origen desconocido.
SparkKitty puede ser erradicado, pero el próximo "Kitty" ya está en gestación. Este ataque nos recuerda que la seguridad en el mundo Web3 no es solo una guerra de código y protocolos, sino una lucha continua sobre la humanidad, los hábitos y la percepción. Mantenerse alerta ante la conveniencia absoluta es una lección obligatoria para cada ciudadano digital.