- SparkCat es un troyano móvil avanzado que usa OCR e IA para leer texto en imágenes y robar frases de recuperación de monederos cripto.
- Se distribuye a través de apps legítimas comprometidas y aplicaciones señuelo en Google Play, App Store y tiendas de terceros.
- Las campañas afectan a Android e iOS en múltiples regiones y utilizan técnicas de ofuscación y virtualización para evadir la detección.
- La mejor defensa pasa por seguridad móvil fiable, no guardar claves en capturas y extremar la precaución con permisos y descargas.
El malware móvil SparkCat se ha convertido en una de las amenazas más llamativas del mundo cripto y de la ciberseguridad móvil. Lo que en principio parecía “otro troyano más” para Android y iOS ha acabado siendo un sofisticado ladrón de frases de recuperación que se cuela incluso en las tiendas oficiales de aplicaciones, saltándose sus filtros de revisión.
En las últimas campañas detectadas, los investigadores de Kaspersky y otros laboratorios de seguridad han comprobado que SparkCat vuelve a estar activo en Google Play y App Store, oculto en apps aparentemente fiables. Además, han aparecido variantes y familias relacionadas, como SparkKitty, que amplían el alcance de los ataques y ponen todavía más en jaque la privacidad y el dinero de los usuarios de criptomonedas.
¿Qué es exactamente el malware móvil SparkCat?
SparkCat es un troyano multiplataforma diseñado para robar claves de recuperación de monederos de criptomonedas y otras credenciales sensibles a partir de las imágenes almacenadas en el dispositivo. Está activo al menos desde la primavera de 2024 y afecta tanto a teléfonos Android como a iPhones con iOS.
Este software malicioso no se conforma con registrar pulsaciones o robar SMS; su punto fuerte es el uso de tecnologías de reconocimiento óptico de caracteres (OCR) y componentes de inteligencia artificial para leer texto dentro de capturas de pantalla y fotos. Así consigue localizar frases mnemotécnicas, palabras clave y credenciales relacionadas con wallets de criptomonedas.
Las soluciones de seguridad han catalogado SparkCat con diferentes nombres de detección. Entre ellos se incluyen HEUR:Trojan.AndroidOS.SparkCat y HEUR:Trojan.IphoneOS.SparkCat en el caso de Kaspersky, además de otras detecciones como Android.Riskware.Agent, Android/Spy.SparkCat y variantes similares en motores como Avast, Bitdefender, Dr.Web o ESET-NOD32.
Una característica clave es que SparkCat está fuertemente ofuscado. Utiliza múltiples capas de ocultación, virtualización de código y lenguajes multiplataforma, algo poco habitual en el malware móvil convencional. Esta complejidad técnica dificulta el análisis por parte de los investigadores y retrasa su detección, lo que le da más tiempo para operar en dispositivos reales.
Cómo se infiltra SparkCat en Android y iOS
La gran baza de SparkCat es que aprovecha tanto tiendas oficiales como canales de terceros para llegar al usuario. No estamos ante un malware que solo circule por webs oscuras o repositorios dudosos: ha conseguido colarse en Google Play y en la App Store de Apple bajo la apariencia de apps legítimas.
Los analistas han identificado aplicaciones reales que fueron comprometidas, como herramientas de mensajería para entornos empresariales, servicios de reparto de comida o asistentes de inteligencia artificial para chat. En algunos casos, se troyanizaron apps ya existentes; en otros, se publicaron apps señuelo creadas desde cero para camuflar el código malicioso.
En el ecosistema Android, SparkCat se ha distribuido como apps de chat de IA o servicios de entrega de comida. Un ejemplo destacado fue una aplicación de chat de inteligencia artificial denominada “ChatAi”, con más de 50.000 descargas, y otra app de reparto llamada “ComeCome”, que superó las 10.000 instalaciones. En total, se calcula que las diferentes muestras de SparkCat superaron las 240.000 descargas solo en Google Play antes de ser retiradas.
En iOS la situación no es muy distinta. Se han detectado frameworks infectados integrados en aplicaciones aparentemente legítimas, incluidas herramientas de mensajería, apps relacionadas con criptomonedas, VPNs, gestores de autenticación y hasta aplicaciones sociales. Estos componentes maliciosos se cargaban dentro de apps con BundleIDs como im.token.app, app.nicegram, io.zorixchange, com.websea.exchange o aplicaciones de reparto, wallets y servicios financieros varios.
Más allá de las tiendas oficiales, SparkCat también ha circulado por repositorios de terceros y páginas web que imitan la App Store y otras tiendas, especialmente cuando se accede desde un iPhone. Es decir, el usuario cree que está en un sitio oficial, pero en realidad está en una copia falsa preparada para ofrecerle descargas troyanizadas.
Ingeniería social y permisos: el truco para que SparkCat funcione
Para llevar a cabo el robo de datos, SparkCat necesita permiso de acceso a la galería de imágenes del dispositivo. El malware no se presenta como tal, sino que aprovecha el flujo normal de uso de la app falsa o comprometida para pedir los permisos adecuados sin levantar sospechas.
Por ejemplo, en aplicaciones de soporte o mensajería, la solicitud de acceso a las fotos se justifica como necesaria para enviar capturas al servicio de atención al cliente. En apps de entrega de comida o servicios relacionados, se puede argumentar que es para adjuntar fotos de pedidos, recibos u otros documentos. De este modo, la petición parece coherente con la funcionalidad de la aplicación.
Una vez que el usuario concede el permiso, el troyano puede recorrer toda la galería y localizar imágenes que contengan información valiosa. No necesita que el usuario haga nada más: actúa en segundo plano, sin síntomas claros, algo normal en los troyanos bien diseñados.
Los analistas de seguridad han destacado que, en muchos casos, las víctimas no notan comportamientos extraños. No hay un consumo desmesurado de recursos ni ventanas emergentes sospechosas evidentes. El objetivo de SparkCat es infiltrarse de forma sigilosa, permanecer oculto y extraer información sin llamar la atención.
Este enfoque se apoya en técnicas clásicas de ingeniería social y abuso de la confianza: el usuario asume que, si la app está en Google Play o App Store y su propuesta parece razonable, no hay problema en otorgarle permisos. Ahí es donde los ciberdelincuentes están sacando partido a los procesos de revisión de las tiendas, que no siempre son capaces de detectar comportamientos maliciosos complejos, sobre todo si se activan bajo condiciones específicas.
Uso de OCR e IA: cómo SparkCat roba tus frases de recuperación
El rasgo más distintivo de SparkCat es su aprovechamiento de tecnologías de reconocimiento óptico de caracteres para leer texto dentro de las fotos. En lugar de depender solo de formularios o datos en texto plano, el malware se fija en algo muy común: las capturas de pantalla y fotografías donde los usuarios guardan sus claves de recuperación.
En Android, SparkCat descifra y ejecuta un plugin de OCR utilizando la biblioteca Google ML Kit, un paquete de aprendizaje automático diseñado para aplicaciones móviles. Gracias a este módulo, el troyano puede analizar el contenido textual de las imágenes guardadas en la galería.
Este componente es capaz de reconocer múltiples alfabetos y lenguas, entre ellos latino, chino, japonés y coreano. De hecho, se ha confirmado que SparkCat ha atacado idiomas como chino, checo, inglés, francés, italiano, japonés, coreano, polaco, portugués e incluso español. Así puede adaptar los modelos de OCR según el idioma configurado en el sistema del dispositivo.
En iOS, la lógica es similar: el malware emplea un módulo de reconocimiento de texto para escanear capturas de pantalla y fotos en busca de palabras clave asociadas a la recuperación de monederos de criptomonedas y credenciales de acceso. La diferencia está en el enfoque lingüístico: mientras que la variante de Android filtra de forma preferente contenido en japonés, coreano y chino, la versión para iPhone se centra sobre todo en frases mnemotécnicas en inglés, lo que amplía su alcance global.
Cuando SparkCat localiza una imagen que parece contener información crítica, sube esa foto a un servidor de mando y control (C&C) gestionado por los atacantes. A partir de ahí, los ciberdelincuentes pueden procesar esos datos, reconstruir frases de recuperación completas, acceder a wallets y mover fondos sin consentimiento del usuario. Además, cualquier otra información sensible presente en las imágenes (documentos, fotos privadas, identificaciones, etc.) se convierte en material valioso para extorsión, robo de identidad u otros fraudes.
Regiones, idiomas y alcance de las campañas de SparkCat
Aunque inicialmente se pensó que SparkCat estaba centrado en unos pocos países, las investigaciones más recientes muestran un alcance geográfico mucho más amplio. Las infecciones se han detectado en Europa, Asia, Emiratos Árabes Unidos y, posiblemente, también en África.
En la variante Android analizada por Kaspersky, la búsqueda de palabras clave en japonés, coreano y chino en las capturas de pantalla apunta claramente a campañas muy activas en Asia. Sin embargo, la lista de idiomas atacados es mucho mayor, lo que evidencia que no se limita a una sola región.
Algunos de los disfraces utilizados por SparkCat, como aplicaciones de reparto de comida, estaban disponibles en países tan variados como Indonesia, Kazajistán, Emiratos Árabes Unidos o Zimbabue. Esto hace pensar que los atacantes han ido ampliando su radio de acción a medida que afinaban las técnicas y comprobaban su eficacia.
Los especialistas han confirmado que, solo en Google Play, las aplicaciones infectadas llegaron a superar las 242.000 descargas. A esto habría que sumar las instalaciones desde tiendas de terceros, markets alternativos, webs fraudulentas o repositorios no oficiales, donde es muy difícil tener cifras precisas.
En el caso de iOS, se han descubierto múltiples BundleIDs cifrados en frameworks maliciosos integrados en aplicaciones relacionadas con mensajería, wallets, intercambio de criptomonedas, VPNs, utilidades y apps sociales. Entre las identificadas se encuentran IDs como com.websea.exchange, im.token.app, com.blockchain.uttool, app.nicegram y muchas otras, lo que demuestra un abanico muy amplio de objetivos.
SparkKitty: posible evolución y variante de SparkCat
Al calor de SparkCat ha aparecido también una familia relacionada conocida como SparkKitty, considerada una posible evolución de este troyano. En lugar de centrarse de forma tan quirúrgica en frases de recuperación, SparkKitty va un paso más allá en la recolección de imágenes.
Las investigaciones han mostrado que SparkKitty se distribuye a través de aplicaciones publicadas en Google Play, App Store y plataformas no oficiales. En este caso, los disfraces típicos incluyen falsas tiendas de criptomonedas en línea, aplicaciones de apuestas, juegos de casino y juegos con contenido para adultos.
Mientras que SparkCat se fija sobre todo en imágenes con contenido relacionado con wallets, SparkKitty tiende a extraer la galería completa del dispositivo sin un filtrado tan específico. El propósito es obtener tanto material sensible como sea posible, desde fotos personales hasta imágenes que puedan contener credenciales o información financiera.
Entre las aplicaciones maliciosas asociadas a SparkKitty se han identificado “币coin” (en App Store) y “SOEX” (en Google Play). Esta última se presentaba como una app de mensajería con funciones de intercambio de criptomonedas integradas y llegó a acumular más de 10.000 descargas antes de ser retirada y de que el desarrollador fuera bloqueado de forma permanente por Google.
El foco principal de esta variante sigue siendo el robo de credenciales asociadas a criptomonedas. Sin embargo, el hecho de que se lleve todas las imágenes abre la puerta a usos secundarios como la extorsión, el chantaje o la exposición de información altamente privada, si los atacantes encuentran contenido comprometador en las fotos robadas.
Técnicas avanzadas de ofuscación y evasión
Uno de los aspectos más preocupantes de SparkCat es su nivel técnico muy por encima del malware móvil medio. Los expertos han resaltado varias capas de ofuscación, entre ellas la virtualización de código y el uso de lenguajes multiplataforma para ocultar la lógica maliciosa.
La virtualización de código implica transformar partes críticas del malware en un conjunto de instrucciones propias, que luego son interpretadas por una especie de máquina virtual interna. Esto dificulta enormemente que los analistas de seguridad y las herramientas automáticas entiendan qué hace realmente el programa, retrasando así la creación de firmas y detecciones eficaces.
El uso de lenguajes y frameworks multiplataforma permite a los atacantes compilar y adaptar gran parte de su código a distintos sistemas operativos sin reescribirlo desde cero. De esta manera, comparten una misma base para Android e iOS, reduciendo el esfuerzo de mantenimiento y acelerando la evolución del malware.
Según los expertos de Kaspersky, los ciberdelincuentes van aumentando constantemente la sofisticación de las técnicas de evasión para superar los procesos de revisión de las tiendas oficiales. Estas revisiones suelen detectar patrones simples, pero tienen más dificultades cuando el comportamiento malicioso solo se activa tras determinados eventos o se oculta bajo capas de cifrado y lógica compleja.
Todo esto convierte a SparkCat en una amenaza en continua evolución, capaz de adaptarse a nuevas medidas de seguridad y cambiar sus métodos de propagación cuando las campañas iniciales quedan al descubierto. Para los defensores, significa que no basta con bloquear unas cuantas muestras; hay que vigilar la aparición de variantes y familias relacionadas.
Consecuencias de una infección por SparkCat
Las repercusiones de tener SparkCat en un móvil van mucho más allá de un simple molestia o pérdida de rendimiento. Estamos hablando de un malware especialmente peligroso para cualquiera que maneje criptomonedas o información financiera desde su smartphone.
El principal riesgo es el robo de frases de recuperación y claves privadas de monederos de criptomonedas. Con este tipo de datos, los atacantes pueden restaurar el acceso a los wallets de la víctima en otros dispositivos y vaciar completamente los fondos, sin opción real de revertir las transacciones.
A esto hay que sumar la posibilidad de robo de identidad y filtración de información personal. Si entre las imágenes robadas hay documentos de identidad, datos bancarios, contratos, justificantes de pago o mensajes privados, los atacantes tienen un arsenal perfecto para suplantar a la víctima o chantajearla.
Otra consecuencia es la pérdida de privacidad sobre el entorno personal y profesional. Fotos familiares, conversaciones fotografiadas, pantallazos de correos o cuentas de redes sociales… todo puede acabar en manos de un actor malicioso, que puede revender esa información, usarla en ciberespionaje o explotarla de otras maneras.
En términos técnicos, el dispositivo puede permanecer aparentemente estable, sin síntomas visibles que hagan sospechar al usuario. No hay errores evidentes, ni ralentizaciones extremas, ni mensajes raros. De ahí la importancia de contar con soluciones de seguridad que monitoricen la actividad en segundo plano y no basar la confianza solo en la “sensación” de que el móvil va bien.
Cómo se ha distribuido SparkCat y métodos de infección habituales
Aunque parte de la distribución de SparkCat ha pasado por canales oficiales, los ciberdelincuentes no se han limitado a Google Play y App Store. También han recurrido a muchas vías clásicas para propagar malware en dispositivos móviles.
Entre estas vías se encuentran las descargas “drive-by” desde páginas web comprometidas o maliciosas, que instalan apps o componentes sin que el usuario sea plenamente consciente de ello; los adjuntos y enlaces infectados enviados por correo electrónico, mensajes privados, SMS o chats; y la publicidad maliciosa que redirige a descargas fraudulentas.
Otro vector importante es el uso de software pirata, cracks y actualizadores falsos. Herramientas de activación no oficiales, supuestas versiones “premium gratis” de apps de pago o actualizaciones no legítimas se han usado en múltiples campañas para colar componentes maliciosos en los dispositivos.
En algunos casos, ciertos tipos de malware tienen capacidad de propagarse por redes locales o a través de dispositivos de almacenamiento extraíbles, como memorias USB o discos externos conectados a teléfonos o tablets. Aunque SparkCat se centra sobre todo en la distribución vía apps, no se puede descartar que en el futuro adopte también técnicas similares.
Por todo ello, los expertos insisten en que no basta con fiarse de la procedencia aparente de una app. Hay que verificar el desarrollador, revisar las opiniones, comprobar los permisos solicitados y desconfiar de cualquier aplicación que parezca pedir acceso a datos o funciones que no necesita para su propósito principal.
Cómo protegerse de SparkCat y del malware móvil similar
La primera recomendación de los analistas de seguridad es instalar soluciones de ciberseguridad fiables en el móvil, tanto en Android como en iOS. Productos de marcas reconocidas permiten detectar y bloquear muestras de SparkCat y sus variantes, impedir la comunicación con servidores de mando y control y alertar si una app legítima ha sido comprometida.
En el caso de Android, una buena suite de seguridad puede interceptar directamente la instalación de aplicaciones maliciosas o con comportamiento sospechoso. En iOS, aunque el sistema es más cerrado, estas soluciones ayudan a cortar conexiones con infraestructuras maliciosas y ofrecen capas extra de protección en navegación web y correo.
Otro pilar esencial es evitar guardar capturas de pantalla con información sensible en la galería. Frases de recuperación, claves privadas, códigos de un solo uso o credenciales de acceso no deberían almacenarse como imágenes sin cifrado. En su lugar, conviene recurrir a gestores de contraseñas de confianza o a soluciones específicas para notas seguras.
También es importante mantener una actitud crítica incluso cuando se descargan apps desde tiendas oficiales. Revisar siempre qué permisos pide una app y plantearse si realmente necesita acceso a la cámara, fotos, micrófono, contactos o ubicación puede evitar muchas sorpresas desagradables.
Además, los expertos recomiendan mantener el sistema operativo y todas las aplicaciones siempre actualizadas. Los fabricantes lanzan parches de seguridad con frecuencia para tapar fallos que podrían ser explotados por troyanos y otros tipos de malware. Un dispositivo desactualizado se convierte en un blanco mucho más fácil.
Buenas prácticas adicionales en Android frente al malware
Ante la sospecha de una posible infección en Android, puede resultar útil revisar el historial de navegación en navegadores como Chrome o Firefox y borrar datos que pudieran estar vinculados a webs maliciosas o notificaciones sospechosas que siguen apareciendo.
Al mismo tiempo, es recomendable gestionar las notificaciones del navegador y revocar permisos a sitios que envían avisos intrusivos o que ya no son de confianza. Muchas campañas de fraude aprovechan las notificaciones push del navegador para lanzar publicidad engañosa o redirigir a descargas peligrosas.
Si hay comportamientos extraños, conviene comprobar el uso de batería y de datos móviles por aplicación. Un consumo desproporcionado por parte de una app poco utilizada puede indicar que está realizando actividades en segundo plano sin conocimiento del usuario, algo muy típico en troyanos y spyware.
Otra medida es desinstalar aplicaciones potencialmente no deseadas o que resulten sospechosas. Si el sistema no permite su eliminación normal, iniciar el dispositivo en “Modo seguro” ayuda a bloquear temporalmente las apps de terceros y facilita la desinstalación de las problemáticas.
Finalmente, los expertos aconsejan revisar periódicamente qué aplicaciones tienen privilegios de administrador del dispositivo y desactivar aquellos accesos que no sean imprescindibles. Una app maliciosa con privilegios elevados puede dificultar muchísimo su propia eliminación y causar daños graves.
¿Cuándo plantearse un reseteo total del dispositivo?
Aunque formatear el dispositivo o hacer un restablecimiento de fábrica no suele ser la primera opción recomendada, en algunos escenarios puede ser la forma más rápida y segura de eliminar por completo una infección persistente.
Sin embargo, antes de llegar a ese punto, se aconseja intentar la limpieza con una solución de seguridad de confianza, realizar análisis completos, desinstalar manualmente las apps sospechosas y revisar los permisos concedidos. La mayoría de infecciones de SparkCat deberían poder eliminarse sin necesidad de formatear.
Si finalmente se opta por el restablecimiento, hay que tener claro que se borrarán todos los datos almacenados en el dispositivo: fotos, vídeos, archivos, contactos guardados en la memoria interna, SMS y configuraciones personalizadas. Por ello, es esencial hacer una copia de seguridad previa de aquello que sea importante y no esté infectado.
En algunos casos también puede ser útil restaurar únicamente los ajustes de red o la configuración del sistema sin borrar todos los datos, algo que puede solucionar problemas derivados de configuraciones corruptas o cambios introducidos por malware menos agresivo.
En cualquier escenario, después de un reseteo o una limpieza profunda, lo recomendable es reinstalar solo las aplicaciones estrictamente necesarias desde fuentes oficiales y verificar bien cada una de ellas, evitando restaurar de golpe copias de seguridad que pudieran incluir una app maliciosa.
La evolución de SparkCat y sus variantes demuestra que el malware móvil ha dado un salto cualitativo importante, combinando técnicas de IA, OCR y ofuscación avanzada para robar lo más valioso que muchos usuarios guardan hoy en sus teléfonos: el acceso a su dinero y a su vida digital. Mantener hábitos de seguridad básicos, vigilar qué instalamos y dónde guardamos nuestras claves, y apoyarse en herramientas de protección fiables se ha vuelto imprescindible para no terminar siendo la próxima víctima de este tipo de campañas.
