Investigadores de ciberseguridad han descubierto una nueva versión del chispagato malware en Apple App Store y Google Play Store, más de un año después de que se descubriera el troyano dirigido a ambos sistemas operativos móviles.
Se ha descubierto que el malware se oculta dentro de aplicaciones aparentemente benignas, como mensajería empresarial y servicios de entrega de alimentos, mientras escanea silenciosamente las galerías de fotos de las víctimas en busca de frases de recuperación de billeteras de criptomonedas.
La empresa rusa de ciberseguridad Kaspersky dijo que encontró dos aplicaciones infectadas en App Store y una en Google Play Store que apuntan principalmente a usuarios de criptomonedas en Asia.
«Sin embargo, la variante de iOS adopta un enfoque diferente, ya que busca frases mnemotécnicas de billeteras de criptomonedas, que están en inglés», dijo la compañía. «Esto hace que la variante de iOS tenga un alcance potencialmente más amplio, ya que puede afectar a los usuarios independientemente de su región».
La versión mejorada de SparkCat para Android incorpora varias capas de ofuscación en comparación con iteraciones anteriores. Esto incluye el uso de virtualización de código y lenguajes de programación multiplataforma para eludir los esfuerzos de análisis. Es más, la versión de Android busca palabras clave japonesas, coreanas y chinas, lo que indica un enfoque asiático.
SparkCat fue documentado por primera vez por Kaspersky en febrero de 2025, destacando su capacidad para aprovechar un modelo de reconocimiento óptico de caracteres (OCR) para filtrar imágenes seleccionadas que contienen frases de recuperación de billetera de bibliotecas de fotos a un servidor controlado por un atacante.
Las últimas mejoras al malware muestran que es una amenaza en evolución activa, sin mencionar las capacidades técnicas de los actores de amenazas detrás de la operación. Kaspersky había evaluado previamente que la actividad maliciosa era obra de un operador de habla china.
«La variante actualizada de SparkCat solicita acceso para ver fotos en la galería del teléfono inteligente de un usuario en ciertos escenarios, al igual que la primera versión del troyano», dijo el investigador de Kaspersky Sergey Puzan a The Hacker News. «Analiza el texto de las imágenes almacenadas mediante un módulo de reconocimiento óptico de caracteres».
«Si el ladrón encuentra palabras clave relevantes, envía la imagen a los atacantes. Teniendo en cuenta las similitudes de la muestra actual y la anterior, creemos que los desarrolladores de la nueva versión del malware son los mismos. Esta campaña subraya una vez más la importancia de utilizar soluciones de seguridad para los teléfonos inteligentes para mantenerse protegidos contra una amplia gama de ciberamenazas».