Amenaza un nuevo malware llamado SparkKitty que puede vaciar carteras de bitcoin (BTC) y otras criptomonedas, robando las frases semillas a través de capturas de pantalla en dispositivos iOS y Android, según informa la empresa de seguridad Kaspersky el 23 de junio.
SparkKitty se infiltra en aplicaciones que parecen legítimas y son descargadas por los usuarios, poniendo en peligro los fondos de aquellos que no sospechan de esta amenaza.
Descubierto por Kaspersky en 2024, SparkKitty utiliza tecnología de reconocimiento óptico de caracteres (OCR) para escanear imágenes en la galería de fotos de los dispositivos que ha infectado. Entre estas imágenes, puede haber capturas de pantalla de las frases semilla, que son secuencias de palabras que permiten recuperar y controlar las carteras de bitcoin y de criptoactivos.
Al obtener acceso a estas frases, los atacantes pueden transferir los fondos a sus propias carteras, dejando a las víctimas sin sus activos digitales.
El malware se propaga mediante aplicaciones disponibles en Google Play y la App Store, así como en tiendas no oficiales. Según el informe, entre las aplicaciones comprometidas se encuentran TikTok (a través de mods falsos que replican la aplicación), juegos de apuestas, aplicaciones de contenido para adultos y herramientas relacionadas con criptomonedas, como el Soex Wallet Tracker y Coin Wallet Pro.
Algunas de estas aplicaciones lograron sortear los controles de seguridad de las tiendas oficiales, acumulando miles de descargas antes de ser eliminadas, según el informe de Kaspersky.
“Esta campaña se centra principalmente en usuarios del Sudeste Asiático y China. Sin embargo, otros países no están a salvo de SparkKitty. El malware se ha estado propagando desde al menos principios de 2024, y en el último año y medio, es probable que los atacantes hayan considerado expandir su operación a otros países y continentes. No hay nada que les impida hacerlo”.
Kaspersky, empresa de seguridad.
¿Cómo funciona SparkKitty?
La forma de operar de SparkKitty es sorprendentemente sencilla. Una vez instalada, la aplicación maliciosa solicita acceso a la galería de fotos, un permiso que los usuarios suelen conceder sin sospechar nada.
Desde ese momento, escanea todas las imágenes, siendo capaz de identificar las frases semilla de wallets o datos sensibles mediante la tecnología OCR y los envía a servidores que están bajo el control de los atacantes. En algunos casos, el malware utiliza tácticas de ingeniería social, mostrando advertencias falsas que incitan a los usuarios a guardar sus frases semilla en capturas de pantalla, facilitando así el robo.
SparkKitty es una versión avanzada de SparkCat, que fue identificado por Kaspersky en enero de 2024. A diferencia de su predecesor, SparkKitty no selecciona las imágenes que roba, sino que se apodera de todas las fotos de la galería, lo que incrementa el riesgo de que se expongan datos sensibles, como contraseñas o mensajes privados.
Para protegerse de SparkKitty, los usuarios deben adoptar medidas de seguridad rigurosas. No deben almacenar frases semilla en capturas de pantalla ni en la galería del dispositivo. Es más seguro usar un soporte físico, como papel, o un administrador de contraseñas de confianza.
Revisar las aplicaciones instaladas y eliminar aquellas cuyo origen sea dudoso es otro consejo de Kaspersky. Además, es aconsejable denegar los permisos de acceso a la galería a las aplicaciones que no lo necesitan y usar soluciones antivirus en Android, como Google Play Protect, para mitigar estos riesgos.
