Hace poco, investigadores de ciberseguridad han alertado sobre una variante renovada del malware conocido como SparkCat que ha reaparecido en las tiendas oficiales de aplicaciones para móviles: tanto en la App Store de Apple como en la Google Play Store. Lo inquietante es que los instaladores no son aplicaciones sospechosas a simple vista: se camuflan dentro de programas que parecen inocuos, como mensajeros empresariales o servicios de reparto de comida, y actúan silenciosamente en segundo plano.
La función maliciosa más peligrosa de SparkCat es su capacidad para escanear las galerías de fotos del dispositivo en busca de las frases de recuperación de monederos de criptomonedas. Este tipo de frases —las famosas "seed" o mnemónicos— permiten restaurar el control sobre billeteras digitales; si caen en manos de un atacante, el robo de activos puede ser prácticamente instantáneo. Investigadores de la compañía rusa Kaspersky señalaron la detección de varias aplicaciones infectadas en ambas plataformas y explicaron cómo el malware envía a servidores controlados por los operadores únicamente las imágenes que contienen texto relevante.
Una diferencia notable entre las variantes es la estrategia lingüística y de alcance. La versión que afecta a iOS fue diseñada para identificar frases mnemónicas en inglés, lo que la hace potencialmente más amplia en alcance, ya que no depende de un idioma regional específico. Por su parte, la variante para Android incorpora mecanismos de búsqueda de palabras en japonés, coreano y chino, lo que apunta a un enfoque centrado en usuarios asiáticos.
Además de los patrones de idioma, los cambios técnicos en la versión para Android indican una evolución en la sofisticación del malware. Los desarrolladores han añadido múltiples capas de ofuscación para complicar su análisis: desde virtualización del código hasta el uso de lenguajes y herramientas multiplataforma que buscan evadir la inspección estática y dinámica que emplean los equipos de respuesta. En otras palabras, SparkCat ha aprendido a esconderse mejor y a ralentizar o confundir a los analistas.
El vector de exfiltración se apoya en un módulo de reconocimiento óptico de caracteres (OCR) que analiza las imágenes almacenadas en el dispositivo. Cuando el OCR detecta texto relacionado con una frase de recuperación, la imagen relevante se transfiere al servidor del atacante. Esta técnica fue descrita por primera vez por Kaspersky en febrero de 2025 y ahora vuelve con mejoras, lo que confirma que el proyecto malicioso está activo y en desarrollo continuo.
Los investigadores han vinculado la operación a un actor de habla china y, según sus hallazgos, las similitudes entre las muestras antiguas y las nuevas sugieren que los responsables son los mismos operadores o un grupo muy relacionado. El análisis de los comportamientos y las cadenas de infección llevó a expertos como Sergey Puzan a señalar la necesidad de herramientas de seguridad en móviles y de prestar atención a los permisos que se conceden a las aplicaciones. En sus declaraciones a la prensa, Puzan destacó que el malware solicita acceso a las fotos en ciertos escenarios y luego usa OCR para decidir qué enviar a los atacantes.
Desde una perspectiva práctica, esto vuelve a poner encima de la mesa recomendaciones que cualquier usuario de criptomonedas debería tomar en serio. Almacenar una copia fotográfica de la frase de recuperación en el teléfono convierte esa copia en un objetivo. Las billeteras de hardware y las prácticas de almacenamiento en frío siguen siendo las defensas más robustas contra este tipo de robos. Además, revisar cuidadosamente los permisos que piden las aplicaciones antes de instalarlas y desconfiar de apps que solicitan acceso a la galería cuando no tienen una razón clara para hacerlo reduce significativamente el riesgo.
Las tiendas oficiales han mejorado sus controles, pero los incidentes demuestran que no son infalibles: las aplicaciones maliciosas pueden pasar revisiones iniciales o aparecer tras actualizaciones que introducen código hostil. Por eso resulta recomendable complementar las protecciones nativas con soluciones de seguridad móviles y comprobar la reputación de los desarrolladores antes de instalar. Los recursos de Apple sobre revisión de apps y las herramientas de protección como Google Play Protect pueden mitigar riesgos, aunque no reemplazan la prudencia del usuario.
Para quienes gestionan activos digitales, conviene también seguir guías de seguridad especializadas: fabricantes de monederos y plataformas como MetaMask y fabricantes de hardware como Ledger ofrecen recomendaciones claras sobre cómo guardar las frases mnemónicas y minimizar la exposición. Y, más allá de las criptomonedas, mantener el sistema operativo y las aplicaciones actualizadas reduce la ventana de oportunidad para que el malware explote vulnerabilidades conocidas.
La reaparición de SparkCat recuerda que la amenaza móvil es dinámica: los autores no solo reutilizan ideas, sino que las perfeccionan. La investigación publicada por Kaspersky y la cobertura de medios especializados como The Hacker News muestran que este tipo de campañas buscan maximizar su impacto con técnicas relativamente sencillas pero eficaces cuando encuentran usuarios poco precavidos.
En definitiva, la lección es clara: la comodidad de tener todo en el teléfono no debe traducirse en negligencia con las llaves (seed phrases) de nuestras carteras digitales. Guardar una frase de recuperación en una foto del móvil es invitar al robo. Tomar medidas básicas de higiene digital y apostar por soluciones de seguridad y almacenamiento fuera de línea puede marcar la diferencia entre mantener o perder el control de los activos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...