- Una variante del malware SparkCat ha logrado infiltrarse en apps de App Store y Google Play haciéndose pasar por software legítimo.
- El código malicioso analiza la galería de fotos del móvil para robar frases de recuperación y claves de billeteras de criptomonedas.
- La campaña combina técnicas avanzadas como virtualización, OCR y lenguajes multiplataforma para evadir los controles de seguridad.
- Los expertos recomiendan no guardar capturas con datos sensibles, revisar permisos y utilizar soluciones de ciberseguridad en el móvil.
Una nueva variante del malware SparkCat ha vuelto a encender todas las alarmas al conseguir infiltrarse en aplicaciones publicadas tanto en la App Store de Apple como en Google Play. Pese a los estrictos sistemas de revisión de ambas plataformas, este código malicioso ha logrado camuflarse dentro de apps que parecían completamente legítimas y funcionales.
El enfoque del ataque resulta especialmente delicado porque el objetivo principal son las billeteras de criptomonedas: SparkCat rastrea las fotos almacenadas en el móvil en busca de capturas de pantalla que contengan frases de recuperación, códigos de respaldo o contraseñas. En un contexto en el que el uso de criptoactivos crece también en España y en el resto de Europa, este tipo de amenaza supone un riesgo directo para pequeños inversores y usuarios que gestionan su dinero desde el teléfono, en especial ante el auge del malware móvil.
Cómo ha conseguido colarse SparkCat en App Store y Google Play
Según los equipos de investigación de Kaspersky, la nueva iteración de SparkCat se oculta en aplicaciones que funcionan con normalidad. Entre las apps comprometidas se han identificado, al menos, servicios de mensajería orientados a comunicación empresarial y una aplicación de reparto de comida, lo que facilita que pasen desapercibidas entre millones de descargas. Pese a ello, los procesos automáticos y manuales fallan ocasionalmente porque los atacantes perfeccionan sus técnicas y esquivan los sistemas de revisión.
Los especialistas localizaron dos aplicaciones maliciosas en la App Store y una en Google Play. Tras la notificación, Apple y Google retiraron el código dañino de sus tiendas oficiales. Sin embargo, la investigación de telemetría revela que la campaña no se limita a estos canales: las mismas apps, o variantes de ellas, también se distribuyen a través de sitios web de terceros.
Parte de estas páginas fraudulentas reproducen la apariencia de la App Store cuando se accede desde un iPhone, de modo que el usuario crea estar descargando desde la tienda oficial de Apple. Este truco visual complica la distinción entre una fuente legítima y un portal falso, incluso para quienes suelen ser prudentes con lo que instalan.
Una vez que la aplicación infectada se descarga, SparkCat se aprovecha de permisos que parecen razonables. Es habitual que un servicio de mensajería o una herramienta para compartir archivos solicite acceso a la galería de fotos; ese tipo de petición no suele levantar sospechas. Pero, tras obtener ese permiso, el malware empieza a escanear en segundo plano las imágenes almacenadas en el dispositivo.
Todo este proceso se produce sin signos visibles para el usuario: las apps cumplen su función aparente, no muestran errores llamativos y el teléfono sigue comportándose con normalidad. Esa discreción es precisamente uno de los factores que han permitido a SparkCat mantenerse activo el tiempo suficiente como para justificar la preocupación de los expertos en ciberseguridad.
Qué hace realmente la nueva versión de SparkCat
El propósito de esta amenaza está muy definido: localizar y extraer información vinculada a criptomonedas. En lugar de limitarse a robar contraseñas introducidas en formularios, SparkCat se centra en las fotos y capturas de pantalla que muchas personas utilizan para guardar datos sensibles de forma rápida y poco segura.
En los dispositivos Android, la variante actualizada incorpora un módulo de reconocimiento óptico de caracteres (OCR) que le permite leer el texto presente en las imágenes. A partir de ahí, el malware busca palabras clave muy concretas en japonés, coreano y chino, lo que indica que, al menos en esta fase de la campaña, los atacantes se han marcado como objetivo principal a usuarios asiáticos con activos en criptomonedas.
La versión diseñada para iOS adopta una estrategia ligeramente distinta: su prioridad es localizar frases de recuperación, códigos y expresiones relacionadas con billeteras digitales en inglés. Este detalle amplía el alcance potencial del ataque a usuarios de distintas regiones, incluida Europa, donde el inglés es la lengua habitual en muchas plataformas de inversión y servicios cripto, incluso entre personas cuya lengua materna es otra.
Si el sistema detecta términos que encajan con los patrones buscados, el contenido relevante se envía a los servidores controlados por los ciberdelincuentes. Con una simple frase de recuperación, los atacantes pueden restaurar una cartera de criptomonedas en otro dispositivo y transferir los fondos sin necesidad de tener acceso físico al móvil de la víctima.
Además de este comportamiento orientado al robo de claves, la versión más reciente de SparkCat incorpora capas técnicas pensadas para impedir su análisis. En el caso de Android, el código está protegido mediante técnicas de virtualización y hace uso de lenguajes de programación multiplataforma, algo todavía poco común en el malware móvil y que complica bastante su estudio por parte de los analistas.
Un malware móvil cada vez más sofisticado
Para los investigadores de seguridad, SparkCat representa un ejemplo claro de cómo ha evolucionado el malware móvil en los últimos años. Ya no se trata solo de adware molesto o troyanos bancarios básicos: hablamos de amenazas diseñadas con un alto nivel técnico, capaces de saltarse controles automatizados y de operar con sigilo durante largos periodos.
El uso simultáneo de virtualización, OCR y lenguajes multiplataforma demuestra un grado de sofisticación poco habitual en este tipo de ataques. Estas técnicas no solo dificultan que las tiendas oficiales detecten el código malicioso durante los procesos de revisión, sino que también permiten reutilizar buena parte del desarrollo entre Android y iOS, algo muy atractivo para los grupos criminales que buscan maximizar el rendimiento de sus campañas.
Los expertos apuntan que las similitudes entre las distintas variantes de SparkCat sugieren que detrás se encuentra el mismo grupo de desarrolladores, perfeccionando el malware con cada versión. Cada nueva iteración introduce pequeños cambios que ayudan a evadir sistemas de detección basados en firmas, mientras mantiene intacto el objetivo original: hacerse con datos financieros de alto valor.
Las soluciones de seguridad de Kaspersky catalogan esta familia de amenazas con los veredictos HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*. Se trata de detecciones heurísticas, pensadas precisamente para reconocer comportamientos sospechosos, incluso cuando el código cambia ligeramente entre una versión y otra. Para ilustrar cómo las herramientas de protección responden, conviene revisar casos en los que soluciones comerciales han detenido amenazas.
Esta mejora constante en las capacidades de SparkCat encaja en una tendencia más amplia: los ciberdelincuentes buscan objetivos cada vez más rentables, como las criptomonedas, y no dudan en invertir tiempo y recursos para desarrollar herramientas complejas que les ayuden a superar las barreras de seguridad tradicionales.
Impacto para usuarios de España y Europa
Aunque la campaña inicial de SparkCat parece estar orientada en buena medida a usuarios de Asia, el hecho de que la variante para iOS se centre en frases de recuperación en inglés abre la puerta a que ciudadanos de la Unión Europea, incluida España, puedan convertirse en víctimas en cualquier momento.
En mercados como el español, donde cada vez más personas invierten en criptomonedas desde el móvil, la costumbre de guardar capturas de pantalla con claves o frases semilla supone un punto débil notable. Cualquier aplicación con acceso autorizado a la galería, aunque parezca inofensiva, podría convertirse en el eslabón que permita a un malware como SparkCat dar el salto a los fondos del usuario. Para conocer herramientas de protección adicionales, conviene informarse sobre ventajas de soluciones antimalware móviles.
El caso también pone en cuestión la idea de que App Store y Google Play son entornos completamente seguros. Aunque sus sistemas de revisión bloquean a diario una gran cantidad de intentos maliciosos, el hecho de que SparkCat haya logrado colarse demuestra que ningún sistema es infalible. Cuando una app ofrece un servicio útil y el código dañino está bien oculto, el riesgo de que pase el filtro existe. Por ello, no hay que asumir que App Store y Google Play sean sinónimo absoluto de seguridad.
Para usuarios europeos acostumbrados a confiar casi ciegamente en las tiendas oficiales, este episodio actúa como recordatorio de que la ciberseguridad móvil requiere una actitud activa. No basta con descargar solo desde fuentes reconocidas: es necesario combinar esa precaución con otras medidas, como revisar permisos o apoyarse en herramientas de protección adicionales. En muchos casos, soluciones especializadas han demostrado su eficacia frente a amenazas avanzadas.
Además, este tipo de incidentes podría impulsar a reguladores y autoridades europeas a exigir a las grandes plataformas controles más estrictos, sobre todo en lo que respecta a aplicaciones relacionadas con finanzas, inversión o gestión de datos especialmente sensibles.
Medidas de protección recomendadas para tu móvil y tus criptomonedas
Ante una amenaza como SparkCat, los especialistas coinciden en que la consigna de «solo instalo apps de la tienda oficial» ya no es suficiente por sí sola. Es necesario adoptar una serie de buenas prácticas, especialmente si se utilizan criptomonedas u otros activos digitales desde el smartphone. Una de las primeras recomendaciones es contar con una solución de ciberseguridad fiable instalada en el móvil que pueda detectar comportamientos sospechosos.
Otra medida clave pasa por evitar almacenar en la galería capturas de pantalla con información sensible, como frases de recuperación, claves privadas o códigos de acceso a billeteras de criptomonedas. Aunque es una práctica cómoda, implica que cualquier app con acceso a las fotos, legítima o no, podría llegar a leer esos datos. Lo más prudente es utilizar o aplicaciones especializadas que ofrezcan cifrado y capas extra de protección.
También conviene revisar con calma los permisos que solicita cada aplicación antes de instalarla o en su primera ejecución. Si un servicio de mensajería pide acceso a la cámara y a las fotos, puede tener sentido; si una app de comida a domicilio reclama permisos que no parecen necesarios para su función principal, es mejor desconfiar, denegar esos accesos y, si es posible, buscar una alternativa más transparente. Aprender sobre cómo operan los ciberataques móviles ayuda a identificar señales sospechosas.
Por último, los expertos recomiendan mantener una actitud crítica incluso dentro de las tiendas oficiales. Revisar quién es el desarrollador, comprobar las valoraciones, leer comentarios recientes y desconfiar de apps con pocas descargas o reseñas excesivamente genéricas son pasos sencillos que reducen la probabilidad de acabar instalando un programa comprometido.
Todo apunta a que SparkCat es solo un ejemplo de hacia dónde está evolucionando el malware móvil: ataques muy dirigidos, con técnicas complejas y un claro foco en el dinero. Para los usuarios de España y del resto de Europa, la lección pasa por combinar prudencia a la hora de descargar aplicaciones, cuidado con la información que se guarda en el dispositivo y el apoyo en herramientas de seguridad, especialmente cuando entran en juego criptomonedas y otros activos digitales.