Facebook Linkedin Twitter Instagram Youtube Telegram

SparkKitty el troyano que roba fotos y datos en iPhones y Android

Los analistas de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que tiene como objetivo los smartphones con iOS y Android. Este malware envía imágenes desde el teléfono infectado e información sobre el dispositivo a los atacantes. Se ha detectado en aplicaciones relacionadas con criptomonedas y apuestas, además de en una versión troyanizada de TikTok, distribuyéndose tanto a través de App Store y Google Play como en páginas web fraudulentas. Según los expertos, el objetivo de los ciberdelincuentes es robar criptoactivos de residentes del Sudeste Asiático y China. Los usuarios en España también podrían estar en riesgo de sufrir una amenaza similar.

Kaspersky ha notificado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles técnicos apuntan a que esta nueva campaña de malware podría estar vinculada con el ya conocido troyano SparkCat: el primer malware en iOS con un módulo de reconocimiento óptico de caracteres (OCR) integrado, que le permitía escanear galerías de imágenes y robar capturas de pantalla con frases de recuperación o contraseñas de monederos de criptomonedas. SparkKitty es el segundo troyano de robo de información que los analistas de Kaspersky han detectado en App Store en el último año, tras SparkCat.

Supuesta app de intercambio de criptomonedas, 币coin, en App Store

iOS

En App Store, el troyano adoptaba la apariencia de una aplicación de criptomonedas llamada 币coin. Los ciberdelincuentes también lo distribuían camuflado como aplicaciones de TikTok y de apuestas, a través de páginas de phishing que imitaban la App Store oficial de iPhone.

Ejemplo de página web que imita la App Store para instalar una app de TikTok falsa mediante herramientas para desarrolladores y ejemplo de una tienda online falsa integrada en la supuesta app de TikTok

«Los ciberdelincuentes utilizan páginas web falsas para intentar infectar los iPhones de las víctimas. iOS permite instalar aplicaciones fuera de la App Store mediante vías legítimas, como las herramientas para desarrolladores usadas para distribuir apps corporativas. En esta campaña, los atacantes han explotado este método. En la versión infectada de TikTok, el malware no solo roba las fotos de la galería del dispositivo durante el inicio de sesión, sino que también añade enlaces a una tienda sospechosa en el perfil del usuario. Esta tienda solo acepta pagos en criptomonedas, lo que refuerza nuestras sospechas sobre su verdadero propósito”, afirma Sergey Puzan, experto en malware de Kaspersky.

Android

Los atacantes se dirigen a los usuarios tanto en páginas web de terceros como en Google Play, donde el malware se hace pasar por diversos servicios relacionados con criptomonedas. Por ejemplo, una de las aplicaciones infectadas, un servicio de mensajería llamado SOEX con función de intercambio de criptomonedas, se descargó más de 10.000 veces desde la tienda oficial. 

Una supuesta app de intercambio de criptomonedas, SOEX, en Google Play

Los expertos también han encontrado archivos APK de las apps infectadas (que pueden instalarse directamente en los smartphones Android sin pasar por las tiendas oficiales) en webs de terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas apps se presentan como proyectos de inversión en criptomonedas. Las páginas web donde se alojan estas aplicaciones se anunciaban en redes sociales, incluyendo YouTube. 

«Después de instalar las apps, estas funcionan tal como prometen en su descripción. Sin embargo, al mismo tiempo envían fotos de la galería del smartphone a los ciberdelincuentes. Después, estos intentan localizar en las imágenes datos confidenciales, como frases de recuperación de monederos de criptomonedas, para acceder a los activos de las víctimas. Hay varios indicios de que los atacantes buscan activos digitales específicamente: muchas de las apps infectadas están relacionadas con criptomonedas, y la versión troyanizada de TikTok incluye una tienda integrada que solo acepta pagos en criptomonedas», concluye Dmitry Kalinin, experto en malware de Kaspersky

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.