• Home
  • Blog
  • Antivirus
  • SparkKitty, el hermano menor de SparkCat: un nuevo espía en la App Store y Google Play

SparkKitty, el hermano menor de SparkCat: un nuevo espía en la App Store y Google Play

22Ago

SparkKitty, el hermano menor de SparkCat: un nuevo espía en la App Store y Google Play

¿Qué es SparkKitty?

SparkKitty es un nuevo troyano espía que afecta tanto a iOS como a Android, descubierto en junio de 2025. Es considerado el “hermano menor” de SparkCat, un malware previamente identificado que robaba frases de recuperación de criptocarteras. SparkKitty se infiltra en dispositivos móviles para robar imágenes de la galería, especialmente aquellas que contienen información sensible como frases de recuperación de billeteras de criptomonedas.

Origen y evolución

La investigación comenzó con una revisión de tiendas sospechosas que ofrecían versiones modificadas de TikTok para Android. Al profundizar, los analistas encontraron que SparkKitty no solo se distribuía por sitios dudosos, sino que también logró infiltrarse en tiendas oficiales como Google Play y la App Store 

Este hallazgo es alarmante porque demuestra que incluso plataformas confiables pueden ser vulnerables a campañas de espionaje sofisticadas.

¿Cómo funciona?

En iOS:

  • El malware se oculta en frameworks maliciosos como AFNetworking.framework y Alamofire.framework.
  • También utiliza bibliotecas ofuscadas como libSwiftDarwin.dylib.
  • Se integra directamente en aplicaciones legítimas, solicitando acceso a la galería cada vez que se abre.

En Android:

  • Existen versiones en Java y Kotlin.
  • La versión Kotlin incluye un módulo malicioso de Xposed, una herramienta que permite modificar el comportamiento del sistema Android.

Una vez instalado, SparkKitty:

  • Solicita permisos para acceder a la galería.
  • Usa OCR (reconocimiento óptico de caracteres) para identificar imágenes con frases de recuperación.
  • Envía las imágenes y datos del dispositivo a servidores controlados por los atacantes 1.

Objetivos de la campaña

El principal objetivo es robar activos digitales, especialmente criptomonedas. Las imágenes con frases de recuperación son clave para acceder a billeteras digitales, lo que convierte a SparkKitty en una amenaza directa para usuarios que manejan criptoactivos desde sus teléfonos.

Indicadores de compromiso

El blog proporciona una lista de:

  • Aplicaciones infectadas en Android e iOS.
  • Frameworks y bibliotecas maliciosas.
  • Páginas web que distribuyen el malware.
  • Servidores C2 (comando y control) utilizados por los atacantes 1.

Medidas tomadas

  • Apple eliminó la aplicación maliciosa de la App Store el 25 de junio de 2025.
  • Google también retiró el malware de su tienda.
  • Sin embargo, la campaña sigue activa desde febrero de 2024, lo que indica una operación prolongada y bien organizada.

Conclusión

SparkKitty representa una evolución en las técnicas de espionaje móvil:

  • Se infiltra en tiendas oficiales.
  • Usa técnicas avanzadas de ocultamiento.
  • Apunta directamente a activos digitales sensibles.

Este caso subraya la importancia de:

  • Verificar los permisos que solicitan las apps.
  • Evitar instalar aplicaciones desde fuentes no confiables.
  • Mantener actualizado el sistema operativo y las herramientas de seguridad.

Share this post

Author

Suscríbete a nuestro blog

    Abrir chat
    Hola 👋
    ¿En qué podemos ayudarte?