El malware SparkCat apunta a billeteras cripto de iOS y Android

Dos apps falsas en la impecable App Store de Apple. Una en Google Play. Todas cargadas con el malware SparkCat que acecha las capturas de pantalla de tu billetera cripto. ¡Despierten, criptobros!

theAIcatchup 5 min read
Interfaz del malware SparkCat escaneando frases de recuperación de billeteras cripto en la galería de fotos del móvil

Key Takeaways

  • El malware SparkCat reapareció en 2 apps de App Store y 1 de Play Store, usando OCR para robar capturas de frases semilla cripto.
  • La versión iOS apunta a mnemónicas en inglés para mayor alcance; Android se enfoca en idiomas asiáticos.
  • Las revisiones de tiendas de apps fallaron de nuevo—exige mejor detección en runtime ante amenazas en evolución.

Dos apps en la App Store de Apple. Una en Google Play. Así es como el malware SparkCat acaba de colarse de nuevo en tu teléfono, más de un año después de que Kaspersky lo detectara por primera vez.

Y no está robando carteras—está asaltando tu galería de fotos en busca de frases de recuperación de billeteras cripto. ¿Esas frases semilla de 12-24 palabras que capturaste de forma idiota? Sí, adiós.

Los investigadores de Kaspersky lo clavaron primero, detectando estos troyanos disfrazados de apps de chat empresariales y servicios de entrega de comida. Principalmente enfocados en usuarios cripto de Asia. ¿Pero la versión de iOS? Escanea frases mnemónicas en inglés. Red más amplia. Ladrones más listos.

“La variante de iOS, sin embargo, adopta un enfoque diferente al escanear frases mnemónicas de billeteras de criptomonedas, que están en inglés”, señala Kaspersky. “Esto hace que la variante de iOS tenga un alcance potencialmente más amplio, ya que puede afectar a usuarios independientemente de su región.”

¿Cómo esquivó SparkCat la revisión de la App Store… otra vez?

Mira, Apple tiene este aura de intocabilidad. Jardín cercado hasta el cansancio. Y aquí estamos, febrero de 2025 con el descubrimiento original de SparkCat, y ahora una bestia mejorada se cuela. Android tampoco es un santo—capas de ofuscación apiladas, virtualización de código, trucos multiplataforma para burlarse de los analistas.

¿La adaptación para Android? Escanea palabras clave en japonés, coreano y chino. Láser enfocada en el boom cripto de Asia. Pero iOS lo mantiene universal. Sigiloso.

Sergey Puzan de Kaspersky lo explica clarito:

“La variante actualizada de SparkCat solicita acceso para ver fotos en la galería del smartphone del usuario en ciertos escenarios —igual que la primera versión del troyano”, le dijo a The Hacker News el investigador de Kaspersky Sergey Puzan. “Analiza el texto en las imágenes almacenadas usando un módulo de reconocimiento óptico de caracteres.”

Modelo OCR. Exfiltra imágenes a servidores de atacantes. El mismo manual, refinado. Y agárrate—estos no son novatos. Operadores de habla china, según Kaspersky. Evolucionando activamente. Eso no es un proyecto de hobby; es un negocio.

Aquí va mi opinión caliente, ausente del comunicado de prensa: esto apesta a XcodeGhost 2.0. ¿Recuerdas 2015? Compilaciones de Xcode infectadas golpearon la App Store, con 250 millones de descargas. Apple se dio palmaditas, prometió fixes. Diez años después? El mismo truco de acceso a galería funciona. Los guardianes están dormidos. O peor, con recursos insuficientes contra ofuscación de calibre estatal.

¿Por qué las ballenas cripto de Asia son blancos perfectos?

¿La escena cripto de Asia? Explosiva. Japón, Corea, China—centros clandestinos pese a las prohibiciones. Miles de millones en juego. ¿Capturas de frases semilla? Tan comunes como el polvo. Los usuarios las tratan como imanes de nevera.

SparkCat no fuerza billeteras a brute force. Sin enlaces phishing. Solo pide fotos—“Oye, el mensajero empresarial necesita acceso a la galería por… razones”. Tocas sí. ¡Pum! Escaneo OCR, coincidencia de palabras clave (¿estándares BIP39, alguien?), imagen zip a servidor C2.

Las palabras clave regionales de la versión Android gritan enfoque: kanji para términos de billetera, frases en hangul. iOS va global con inglés. Predicción: si no se parchea, veremos variantes europeas para el verano. La tecnología OCR está tirada de precio ahora—modelos open source por todos lados. Los actores de amenazas escalan esto de la noche a la mañana.

Pero espera—“mensajeros empresariales”? ¿Entrega de comida? Camuflaje genial. ¿Quién le niega acceso a fotos a un clon de DoorDash? Estás ocupado pidiendo ramen, no auditando permisos.

Respuesta corta: estás jodido si capturas frases semilla. Billeteras hardware o nada. Pero ese no es el punto.

¿El punto? Las tiendas de apps son cedazos para malware sofisticado. El regreso de SparkCat lo prueba. Kaspersky urge soluciones de seguridad—obvio. Pero en realidad, te toca a ti cargar con paranoia para sideload.

¿Ya está comprometido tu teléfono?

Revisa tus apps. ¿Chat empresarial? ¿Rarezas de entrega de comida? ¿Permisos para fotos? Revócalos. Pero SparkCat ha evolucionado—se esconde profundo, virtualización lo blinda de antivirus.

Kaspersky vincula las nuevas muestras con las originales. Mismos devs. Campaña persistente. Y no está solo—familias de malware como esta se multiplican. ¿RedLine? ¿ClipBanker? Todos parientes saqueadores de galerías.

¿Giro corporativo? Apple dirá “removido rápidamente”. Google igual. Pero el daño está hecho. Víctimas drenadas antes del takedown. ¿Cuántos? Desconocido. Pero los reportes de robos cripto en Asia se dispararon el trimestre pasado—¿coincidencia?

Mi queja única: esto expone el sucio secreto de las cripto. Los cantos de “no tus claves, no tus monedas” suenan huecos cuando tu teléfono es el eslabón débil. Las billeteras necesitan escudos integrados para galerías. MetaMask, Trust Wallet—¿dónde está tu bloqueador OCR?

Lo que Apple y Google no admitirán

¿Procesos de revisión? Patéticos contra pros. Revisores humanos hojean. Escaneos automáticos fallan con código virtualizado. ¿Lenguajes multiplataforma? Kotlin mezclado con ofuscación Rust—suerte.

Llamada audaz: SparkCat es solo la punta. Actores respaldados por estados (operación china, ¿recuerdas?) prueban aguas. Si pasa desapercibido mucho tiempo, campañas completas ruedan. Miles de millones en riesgo. Las tiendas de apps deben exigir análisis de comportamiento—monitoreo en runtime. O admitir derrota.

Usuarios, no esperen. Auditen permisos. Usen verificadores de apps como AppCensus. Y por el amor de Dios, nunca capturen frases semilla. Quemenlas si es necesario.

Esto no es hype. Es un despertar. SparkCat evolucionó porque funciona. Tu galería es una mina de oro—no lo hagas fácil.

🧬 Related Insights

Frequently Asked Questions

What is SparkCat malware? SparkCat’s a trojan in fake iOS and Android apps that uses OCR to scan photo galleries for crypto wallet recovery phrases, then steals the images.

How does SparkCat get into App Store apps? It hides in benign-looking apps like messengers or delivery services, using obfuscation like code virtualization to evade reviews.

Am I safe if I’m not in Asia? iOS version targets English phrases—global risk. Check app permissions and avoid screenshotting wallet seeds.

Elena Vasquez
Written by
Elena Vasquez

Senior editor and generalist covering the biggest stories with a sharp, skeptical eye.

Frequently asked questions

What is SparkCat malware?
SparkCat's a trojan in fake iOS and Android apps that uses OCR to scan photo galleries for crypto wallet recovery phrases, then steals the images.
How does SparkCat get into App Store apps?
It hides in benign-looking apps like messengers or delivery services, using obfuscation like code virtualization to evade reviews.
Am I safe if I'm not in Asia?
iOS version targets English phrases—global risk. Check app permissions and avoid screenshotting wallet seeds.
#android-trojan #ocr-stealer #sparkcat-malware #crypto-theft #ios-malware

Worth sharing?

Get the best AI stories of the week in your inbox — no noise, no spam.

Originally reported by The Hacker News

Related Stories