{"id":28263,"date":"2025-06-29T11:39:27","date_gmt":"2025-06-29T17:39:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28263"},"modified":"2025-06-29T11:39:27","modified_gmt":"2025-06-29T17:39:27","slug":"ios-android-stealer-sparkkitty","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ios-android-stealer-sparkkitty\/28263\/","title":{"rendered":"Las fotos de tus gatos est\u00e1n en peligro: la amenaza que supone el nuevo troyano SparkKitty"},"content":{"rendered":"

Tus instant\u00e1neas son, en cierto modo, las llaves para acceder a tu vida privada. Tu galer\u00eda guarda tus planes para el futuro, secretos financieros, fotos de gatos y, a veces, incluso cosas que nunca compartir\u00edas con nadie. Pero \u00bfcon qu\u00e9 frecuencia piensas realmente en proteger esas im\u00e1genes? Esperamos que, desde que supiste del ladr\u00f3n multiplataforma SparkCat<\/a>, hayas reflexionado al respecto m\u00e1s a menudo de lo habitual.<\/p>\n

Ahora hemos descubierto al hermano peque\u00f1o de este troyano, al que hemos llamado cari\u00f1osamente SparkKitty. Pero no dejes que este nombre tan tierno te enga\u00f1e: tras \u00e9l se esconde un esp\u00eda que, al igual que su hermano mayor, tiene como objetivo robar las fotos de los tel\u00e9fonos inteligentes de sus v\u00edctimas. \u00bfQu\u00e9 hace \u00fanica a esta amenaza? \u00bfY por qu\u00e9 deber\u00edan aguzar el o\u00eddo tanto los usuarios de Android como los de iPhone?<\/p>\n

C\u00f3mo hace SparkKitty para llegar a los dispositivos<\/h2>\n

El ladr\u00f3n se propaga de dos maneras: (i) de forma descontrolada, es decir, por los rincones m\u00e1s ind\u00f3mitos de Internet; y (ii) a trav\u00e9s de las tiendas de aplicaciones oficiales como la App Store y Google Play. Vamos a analizarlo.<\/p>\n

Tiendas de aplicaciones oficiales<\/h3>\n

En la App Store de Apple, el malware se encontraba al acecho dentro de la aplicaci\u00f3n \u5e01<\/strong>coin<\/strong>, dise\u00f1ada para rastrear las cotizaciones de las criptomonedas y las se\u00f1ales de trading. No sabemos exactamente c\u00f3mo esta actividad de espionaje tan sospechosa acab\u00f3 en la aplicaci\u00f3n. Es posible que haya habido una vulneraci\u00f3n en la cadena de suministro<\/a> y que los propios desarrolladores no supieran de la existencia de SparkKitty hasta que se la notificamos. Pero tambi\u00e9n existe otra posibilidad: que los desarrolladores hayan incrustado el ladr\u00f3n deliberadamente en la aplicaci\u00f3n. En cualquier caso, es la segunda vez que notamos que se infiltr\u00f3 un troyano en la App Store, y ya hemos alertado a Apple al respecto. SparkCat<\/a> fue el primer caso.<\/p>\n

\"Aplicaci\u00f3n<\/a>

Aplicaci\u00f3n infectada en la App Store<\/p><\/div>\n

Con Google Play es otra historia: las aplicaciones maliciosas aparecen con regularidad, y con frecuencia analizamos estas amenazas<\/a> en Kaspersky Daily. Esta vez, hemos detectado actividad maliciosa en una aplicaci\u00f3n de mensajer\u00eda que incluye funciones de intercambio de criptomonedas. Se trata de una aplicaci\u00f3n popular que se ha instalado m\u00e1s de 10\u00a0000 veces y que se hab\u00eda eliminado de Google Play al momento del estudio.<\/p>\n

Enlaces sospechosos sin control<\/h3>\n

Sin embargo, esta vez los atacantes han sido mucho m\u00e1s creativos al momento de propagar el malware de manera descontrolada. Una vez, durante una revisi\u00f3n de rutina de enlaces sospechosos (hacemos clic en ellos para que no tengas que hacerlo t\u00fa), nuestros expertos descubrieron varias p\u00e1ginas similares que distribu\u00edan un mod de TikTok para Android. Una de las funciones principales de este mod era invocar c\u00f3digo adicional. \u201cEso parece sospechoso\u201d, pensamos en ese momento. Y ten\u00edamos raz\u00f3n. El c\u00f3digo conten\u00eda enlaces que aparec\u00edan como botones dentro de la aplicaci\u00f3n, y todos ellos dirig\u00edan a los usuarios a una tienda en l\u00ednea que se llamaba TikToki Mall, donde se vend\u00edan diversos art\u00edculos. Lamentablemente, no pudimos determinar si la tienda era leg\u00edtima o solo una gran trampa. Pero un hecho interesante nos llam\u00f3 la atenci\u00f3n: TikToki Mall acepta pagos en criptomoneda, y es necesario tener un c\u00f3digo de invitaci\u00f3n para registrarse y pagar cualquier art\u00edculo. No encontramos ninguna otra actividad sospechosa en esta etapa, ni tampoco rastros de SparkKitty u otro malware.<\/p>\n

As\u00ed que decidimos adoptar un enfoque diferente y averiguar qu\u00e9 ocurr\u00eda cuando puls\u00e1bamos los mismos enlaces sospechosos desde un iPhone. De este modo, accedimos a una p\u00e1gina que se parec\u00eda bastante a la App Store y que inmediatamente nos indic\u00f3 que descarg\u00e1ramos la \u201caplicaci\u00f3n TikTok\u201d.<\/p>\n

iOS no permite a los usuarios descargar y ejecutar aplicaciones de terceros. Sin embargo, Apple proporciona los denominados perfiles de suministro a todos los miembros del programa de desarrolladores de Apple. Estos perfiles permiten instalar aplicaciones personalizadas que no est\u00e1n disponibles en la App Store en los dispositivos de los usuarios, como las versiones beta o las aplicaciones desarrolladas para uso corporativo interno. Los atacantes aprovechan dichos perfiles para distribuir aplicaciones que contienen malware.<\/em><\/p><\/blockquote>\n

El proceso de instalaci\u00f3n era un poco diferente al procedimiento habitual. Normalmente, en la App Store, solo hay que pulsar Instalar<\/strong> una vez. Pero, en este caso, la instalaci\u00f3n de la falsa TikTok requer\u00eda pasos adicionales: hab\u00eda que descargar e instalar un perfil de suministro de desarrollador.<\/p>\n

\"Instalaci\u00f3n<\/a>

Instalaci\u00f3n de una aplicaci\u00f3n de una fuente desconocida en un iPhone<\/p><\/div>\n

Desde luego, esta versi\u00f3n de TikTok no ten\u00eda v\u00eddeos graciosos; era simplemente otra tienda, similar a la versi\u00f3n de Android. Si bien parec\u00eda inofensiva, la versi\u00f3n para iOS solicitaba acceso a la galer\u00eda del usuario cada vez que se iniciaba. Y ah\u00ed estaba la trampa. As\u00ed descubrimos un m\u00f3dulo malicioso que enviaba im\u00e1genes de la galer\u00eda del tel\u00e9fono infectado, junto con informaci\u00f3n del dispositivo, a los atacantes. Tambi\u00e9n encontramos sus rastros en otras aplicaciones de Android. Para conocer los detalles t\u00e9cnicos del caso, consulta nuestro informe completo en Securelist<\/a>.<\/p>\n

\u00bfQui\u00e9n se puede considerar en riesgo?<\/h2>\n

Seg\u00fan nuestros datos, esta campa\u00f1a se dirige principalmente a usuarios del sudeste asi\u00e1tico y China. Sin embargo, eso no significa que otros pa\u00edses est\u00e9n fuera del alcance de las garras de SparkKitty. El malware lleva propag\u00e1ndose al menos desde principios de 2024. Y, en el \u00faltimo a\u00f1o y medio, es probable que los atacantes se hayan planteado ampliar sus operaciones a otros pa\u00edses y continentes. No hay nada que pueda impedirles hacerlo. Es m\u00e1s, no solo debes preocuparte por el mod de TikTok. Tambi\u00e9n hemos encontrado actividad maliciosa en varios juegos de apuestas y juegos para adultos, e incluso en aplicaciones relacionadas con criptomonedas.<\/p>\n

Si crees que estos atacantes solo est\u00e1n interesados en contemplar las fotos de tus vacaciones, pi\u00e9nsalo dos veces. SparkKitty carga todas y cada una de tus instant\u00e1neas a su servidor de mando y control. Estas im\u00e1genes podr\u00edan incluir f\u00e1cilmente capturas de pantalla con informaci\u00f3n confidencial como frases semilla de carteras de criptomonedas, lo que les permitir\u00eda a estos actores maliciosos robar tu criptomoneda.<\/p>\n

C\u00f3mo puedes protegerte de SparkKitty<\/h2>\n

Este troyano se propaga de muchas maneras, y saber protegerte de cada una de ellas es un gran desaf\u00edo. Aunque la regla de oro de \u201cdescargar aplicaciones solo de fuentes oficiales\u201d sigue siendo v\u00e1lida, hemos encontrado rastros de este ladr\u00f3n tanto en Google Play como en la App Store, lugares donde las aplicaciones son supuestamente examinadas y 100\u00a0% seguras. Entonces, \u00bfqu\u00e9 puedes hacer al respecto?<\/p>\n

Te recomendamos que te concentres en proteger la galer\u00eda de tu tel\u00e9fono inteligente. Desde luego, el m\u00e9todo m\u00e1s infalible ser\u00eda no tomar nunca fotos ni capturas de pantalla de informaci\u00f3n confidencial, pero eso es pr\u00e1cticamente imposible en la actualidad. Para eso hay una soluci\u00f3n: guarda las fotos valiosas en un almac\u00e9n seguro<\/a>. Con Kaspersky Password Manager<\/a>, solo podr\u00e1s ver y enviar fotos importantes y protegidas despu\u00e9s de introducir la contrase\u00f1a principal, que solo t\u00fa debes saber<\/a>. Ten en cuenta que el contenido protegido no se limita a un solo dispositivo. El administrador de contrase\u00f1as puede sincronizar informaci\u00f3n entre los tel\u00e9fonos inteligentes y los ordenadores. Esto incluye datos de tarjetas bancarias, tokens de autenticaci\u00f3n de dos factores y cualquier otra cosa que escojas para almacenar en Kaspersky Password Manager<\/a>, incluidas tus fotos.<\/p>\n

Tambi\u00e9n es crucial que compruebes ahora mismo si tu tel\u00e9fono inteligente tiene alguna de las aplicaciones infectadas que hemos descubierto; la lista completa est\u00e1 disponible en Securelist<\/a>. En el caso de Android, Kaspersky para Android<\/a> puede ayudarte con esto: encontrar\u00e1 y eliminar\u00e1 el malware por ti. En el caso de iPhone, debido a la arquitectura cerrada de iOS, nuestra soluci\u00f3n de seguridad<\/a>\u00a0no puede analizar y borrar las aplicaciones infectadas que fueron previamente instaladas, pero impedir\u00e1 cualquier intento de env\u00edo de datos a los servidores de los atacantes y te advertir\u00e1 de ello.<\/p>\n

Y si decides suscribirte a Kaspersky Premium<\/a> o Kaspersky Plus<\/a>, obtendr\u00e1s Kaspersky Password Manager<\/a>\u00a0junto con tu soluci\u00f3n de seguridad.<\/p>\n

Sigue nuestro canal de Telegram<\/a>\u00a0para mantenerte al d\u00eda sobre las \u00faltimas ciberamenazas y aseg\u00farate de almacenar tus fotos de forma segura.<\/p>\n

Obt\u00e9n informaci\u00f3n sobre otros malware con los que debes tener cuidado para proteger tu tel\u00e9fono inteligente:<\/p>\n