- SparkCat es un troyano móvil avanzado para Android e iOS que usa OCR para escanear fotos y robar frases de recuperación de criptomonedas y otros datos sensibles.
- El malware se ha distribuido a través de Google Play, App Store y tiendas de terceros camuflado en apps de mensajería, reparto de comida, wallets y juegos.
- Su presencia puede provocar pérdidas económicas irreversibles, robo de identidad y filtración de documentos personales y corporativos almacenados en la galería.
- La mejor defensa pasa por revisar permisos, no guardar datos críticos en fotos, usar seguridad móvil fiable y actuar rápido si se detecta una app infectada.
La galería de fotos del móvil se ha convertido en una especie de caja fuerte improvisada: capturas de pantalla de bancos, documentos importantes, frases de recuperación de wallets, códigos de respaldo… El problema es que esa “caja fuerte” no está ni mucho menos protegida. Con la llegada del malware móvil SparkCat, esa costumbre tan cómoda de guardar todo en fotos se ha convertido en un riesgo serio para tu dinero y tu privacidad.
Este troyano, activo en Android e iOS, ha logrado colarse en Google Play y App Store camuflado en aplicaciones aparentemente legítimas. Su especialidad es utilizar tecnología OCR (reconocimiento óptico de caracteres) para escanear tus imágenes en busca de frases de recuperación de criptomonedas y otros datos sensibles. Y lo peor es que ya existen variantes como SparkKitty que amplían todavía más el alcance del robo de imágenes y datos.
¿Qué es exactamente el malware móvil SparkCat?
SparkCat es un troyano móvil multiplataforma diseñado para atacar tanto dispositivos Android como iPhones. Los investigadores lo sitúan en circulación, como mínimo, desde la primavera de 2024, aunque su descubrimiento y publicación mediática llegó algo más tarde. Su objetivo principal es robar frases de recuperación y claves de monederos de criptomonedas a partir de fotos almacenadas en el dispositivo.
Esta amenaza se distribuye a través de aplicaciones troyanizadas y apps que aparentan ser completamente legítimas: mensajería instantánea, herramientas de IA, servicios de reparto de comida, lectores de noticias o incluso billeteras criptográficas falsas. Detrás de todo ese envoltorio hay un componente malicioso muy ofuscado que aprovecha los permisos de acceso a la galería para inspeccionar tus imágenes en busca de información de alto valor.
La telemetría de diversas empresas de seguridad, como Kaspersky, apunta a que SparkCat se ha dirigido sobre todo a usuarios de Europa, Asia y Oriente Medio, con especial interés en países como Emiratos Árabes Unidos, distintos estados europeos y varias regiones asiáticas. Además, hay indicios de que los desarrolladores del malware dominan el idioma chino, por la forma en que se han construido sus diccionarios y reglas, según la telemetría de diversas empresas de seguridad.
Desde el punto de vista técnico, SparkCat es un malware muy ofuscado que utiliza técnicas poco habituales en amenazas móviles, como la virtualización de código y el uso de lenguajes multiplataforma para la lógica maliciosa. Esto complica muchísimo el análisis por parte de investigadores y herramientas automáticas, y le ayuda a pasar los procesos de revisión de las tiendas oficiales.
Los expertos en ciberseguridad coinciden en que SparkCat no es un experimento aislado, sino un ejemplo claro de la profesionalización del malware móvil orientado a criptomonedas: integra librerías modernas, se adapta a múltiples lenguas y regiones, y su estructura permite añadir o cambiar objetivos con relativa facilidad. De hecho, se han detectado aplicaciones maliciosas con técnicas avanzadas que confirman esta tendencia.
Cómo se ha distribuido SparkCat en Google Play, App Store y tiendas de terceros
Una de las cosas más preocupantes de SparkCat es que ha conseguido llegar a Google Play y Apple App Store, es decir, a los canales que la mayoría de usuarios considera “seguros por defecto”. Según los análisis publicados, se han identificado 10 aplicaciones maliciosas en Google Play y 11 en App Store en la primera oleada, con más de 242.000 descargas solo en Android, un fenómeno similar al detectado en campañas previas de apps maliciosas.
Entre las apps infectadas detectadas en Google Play destacan, por ejemplo, la aplicación de entrega de comida ComeCome, que estaba disponible en países como Emiratos Árabes Unidos e Indonesia, y varias apps de mensajería instantánea con funciones de inteligencia artificial. En muchos casos, estas aplicaciones se presentaban como herramientas útiles y quedaron camufladas entre otras apps legítimas del desarrollador.
En el caso de iOS, los atacantes incorporaron SparkCat dentro de frameworks y librerías usados por distintas apps, de forma que el componente malicioso quedaba incrustado sin llamar la atención. Se descubrieron numerosos BundleIDs relacionados con apps de mensajería, VPNs, wallets, servicios de reparto o herramientas de autenticación, lo que indica una campaña muy amplia y bien planificada.
Además de las tiendas oficiales, la telemetría confirma que SparkCat y sus variantes se han distribuido por tiendas de aplicaciones no oficiales y páginas que imitan el aspecto de la App Store o Google Play. En particular, se han visto webs que, al ser abiertas desde un iPhone, recrean la App Store para engañar al usuario y hacerle instalar perfiles o apps fuera de los canales normales.
Los métodos de infección no se limitan a las tiendas: también se han observado técnicas clásicas como campañas de phishing con enlaces a descargas maliciosas, publicidad engañosa, descargas “drive-by” en webs comprometidas, uso de cracks y activadores ilegales, así como supuestas actualizaciones de software que esconden el troyano.
Aplicaciones implicadas y alcance de la campaña
Los investigadores han publicado listas de APKs infectados en Android y de BundleIDs contaminados en iOS. En el ecosistema Android, entre otros, se han rastreado paquetes como com.crownplay.vanity.address, com.atvnewsonline.app, com.bintiger.mall.android, org.safew.messenger, com.sapp.chatai, com.sapp.starcoin o com.tonghui.paybank. Muchas de estas apps se presentaban como servicios financieros, mensajería, intercambio de criptomonedas o utilidades de pago, un patrón también observado en campañas contra apps eCommerce.
En iOS, la lista de identificadores de bundle maliciosos es aún más extensa, con referencias a apps de mensajería, servicios VPN, supuestas herramientas de blockchain, wallets y hasta aplicaciones de reparto de comida y entretenimiento. Entre ellos se encuentran, por ejemplo, im.pop.app.iOS.Messenger, io.zorixchange, com.blockchain.uttool, staffs.mil.CoinPark, app.nicegram o com.websea.exchange, entre muchos otros.
Las cifras de descargas acumuladas superan las 240.000 instalaciones conocidas solo en Android, sin contar las descargas desde repositorios alternativos o APKs distribuidos de forma directa. Además, en nuevas oleadas se han ido descubriendo más apps afectadas, incluyendo herramientas de mensajería corporativa y servicios de reparto que nada hacían sospechar a primera vista.
A la vista de los diccionarios de palabras clave y las reglas OCR que usa SparkCat, se ha podido determinar que la campaña se dirige a muchos países europeos y asiáticos, con soporte para varios alfabetos e idiomas: chino, japonés, coreano, inglés, francés, italiano, checo, polaco o portugués. Además, algunos disfraces del malware estaban disponibles en regiones como Indonesia, Kazajistán, Emiratos Árabes Unidos o Zimbabue, lo que abre la puerta a un alcance aún mayor.
Aunque todas las aplicaciones identificadas en las tiendas oficiales han sido retiradas tras la notificación a Google y Apple, es muy probable que todavía circulen copias fuera de los repositorios oficiales o que se vuelvan a subir nuevas apps troyanizadas con otros nombres y diseños, manteniendo el mismo núcleo malicioso.
Cómo funciona SparkCat: permisos, OCR y exfiltración de datos
El truco principal de SparkCat es aprovechar la confianza del usuario en la app instalada para conseguir acceso a la galería de imágenes. Normalmente, la solicitud de permisos aparece cuando se intenta usar una función aparentemente lógica: abrir un chat de soporte, enviar una foto a atención al cliente, compartir una imagen en un servicio de mensajería o adjuntar un archivo en la propia aplicación.
Una vez el usuario concede el permiso, el troyano comienza a recorrer las fotos a las que tiene acceso. No se limita a leer los metadatos: emplea un módulo de reconocimiento óptico de caracteres (OCR) basado en Google ML Kit, una librería de machine learning muy utilizada en apps legítimas de Android e iOS. De esta forma, SparkCat es capaz de interpretar el texto contenido en las imágenes.
En función del idioma configurado en el dispositivo, el malware descarga los modelos necesarios para reconocer el alfabeto correspondiente: latino, chino, japonés o coreano. Después, compara el texto extraído con un conjunto de reglas y palabras clave que obtiene de su servidor de mando y control (C2). Estas reglas pueden incluir términos como “mnemonic”, “seed”, “frase de recuperación”, combinaciones aparentemente aleatorias típicas de códigos de respaldo, o estructuras concretas de frases usadas en wallets.
Cuando el filtro detecta que una imagen contiene texto potencialmente sensible, SparkCat sube la foto al servidor de los ciberdelincuentes, junto con información adicional sobre el dispositivo, el idioma, el modelo y detalles del texto reconocido. Aunque el foco declarado es el robo de credenciales de criptomonedas, en la práctica cualquier documento, tarjeta bancaria, contraseña o dato privado fotografiado podría ser exfiltrado.
La conexión con la infraestructura de mando y control se realiza de forma cifrada y optimizada para minimizar el consumo aparente de datos y pasar desapercibida. Además, la ofuscación y la virtualización del código dificultan que las soluciones de seguridad detecten los patrones de comportamiento sospechoso, especialmente si el malware se activa de forma ocasional o bajo ciertas condiciones.
Variantes y evolución: SparkKitty y nuevas campañas
Con el paso de los meses, los analistas han identificado lo que parece ser una evolución de SparkCat conocida como SparkKitty. Esta variante sigue la misma idea general (robo de información a partir de imágenes), pero con un enfoque aún más agresivo: en lugar de intentar filtrar solo fotos que contengan texto valioso, es capaz de extraer la galería completa sin distinguir demasiado entre imágenes sensibles y contenido personal.
En varias campañas recientes, SparkKitty se ha distribuido a través de falsas tiendas de criptomonedas, apps de apuestas, juegos de casino y juegos para adultos publicados en Google Play, App Store y tiendas no oficiales. El objetivo no solo es hacerse con credenciales de wallets, sino también con fotos íntimas o comprometedoras que podrían usarse posteriormente para extorsión o chantaje.
Entre las aplicaciones maliciosas detectadas relacionadas con esta variante se encuentran nombres como “币coin” en la App Store de Apple o “SOEX” en Google Play, una app de mensajería con función de intercambio de criptomonedas que logró acumular más de 10.000 descargas antes de ser eliminada. Google ha confirmado que todas las apps asociadas han sido borradas y que el desarrollador ha sido suspendido de forma permanente.
A pesar de estas acciones, los expertos resaltan que los desarrolladores de SparkCat y SparkKitty no dejan de refinar sus técnicas de evasión. Se han observado múltiples capas de ofuscación, uso de lenguajes multiplataforma y virtualización de partes críticas del código, algo poco habitual en el malware móvil clásico y que requiere un nivel técnico elevado.
Todo indica que estamos ante familias de malware en constante evolución, capaces de adaptar sus objetivos (más allá de las criptomonedas) y que podrían empezar a especializarse en robar otro tipo de datos: credenciales de cuentas online, información corporativa fotografiada, documentos personales y cualquier contenido sensible que los usuarios tengan almacenado en forma de imagen. Ya hay precedentes de troyanos orientados a datos bancarios como con objetivos cambiantes.
Impacto y riesgos: por qué SparkCat es tan peligroso
El impacto de SparkCat va mucho más allá de una simple fuga de datos: hablamos de una amenaza que puede provocar pérdidas económicas directas, robo de identidad y graves problemas de privacidad. El foco principal está en las carteras de criptomonedas, donde la recuperación de fondos robados es prácticamente imposible.
Cuando un atacante obtiene la frase de recuperación o las claves privadas de un monedero de criptos, pasa a tener control total sobre los fondos. A diferencia de una transferencia bancaria tradicional, las transacciones de criptomonedas son irreversibles y no hay un banco central o entidad que pueda deshacer la operación. Además, las wallets se identifican por direcciones, no por nombres o DNIs, lo que dificulta enormemente el rastreo.
Las estadísticas recientes muestran que el malware móvil y el fraude con criptomonedas van al alza. Se estima que entre 2021 y 2023, más del 80% de las nuevas variantes de malware se han diseñado para teléfonos, y las denuncias por estafas con criptomonedas se cuentan por decenas de miles, con pérdidas de miles de millones de dólares en todo el mundo. SparkCat encaja perfectamente en esta tendencia de cibercrimen altamente rentable.
Más allá del dinero, SparkCat puede permitir el robo de datos personales y corporativos fotografiados: contratos, fichas de cliente, documentos de identidad, tarjetas bancarias, pantallazos de accesos a sistemas internos, etc. Con esta información, los ciberdelincuentes podrían realizar suplantaciones de identidad, abrir cuentas a tu nombre, o lanzar ataques dirigidos contra empresas y organizaciones.
La presencia silenciosa de este tipo de malware en un dispositivo implica que, durante semanas o meses, las imágenes que vas generando pueden ser copiadas a un servidor remoto sin que veas síntomas claros: el teléfono sigue funcionando, las apps aparentan normalidad y el consumo de datos puede pasar desapercibido, sobre todo si estás casi siempre conectado a WiFi.
Cómo saber si tu móvil puede estar infectado con SparkCat
Detectar SparkCat a simple vista no es fácil, ya que los troyanos móviles están diseñados para ser lo más discretos posible. Aun así, hay una serie de indicadores y buenas prácticas que te pueden ayudar a identificar un posible compromiso en tu dispositivo.
Una señal importante es encontrar en tu móvil aplicaciones que no recuerdas haber instalado o que tienen nombres extraños, iconos poco profesionales o descripciones confusas. También conviene revisar apps de mensajería desconocidas, supuestas wallets de criptomonedas, herramientas de IA de origen dudoso o servicios de reparto que no son los oficiales de tu zona.
Otro indicio es un uso anómalo de la batería o de los datos móviles. Aunque SparkCat intenta optimizar el consumo, la exfiltración de imágenes y el análisis OCR pueden incrementar el gasto de recursos. Revisar desde los ajustes del sistema qué aplicaciones están consumiendo más batería o datos de lo normal es una forma sencilla de localizar posibles apps problemáticas; este síntoma también aparece en casos de .
En algunos casos, pueden aparecer solicitudes de permisos poco coherentes: por ejemplo, una app de noticias pidiendo acceso completo a tus fotos, o una supuesta herramienta de VPN que solicita permiso para leer la galería, el portapapeles o enviar notificaciones intrusivas. Este tipo de comportamiento debería encender todas las alarmas.
Por último, una manera eficaz de comprobar la presencia de SparkCat es realizar un análisis con una solución de seguridad móvil reconocida. Muchos antivirus para Android e iOS ya incluyen firmas y reglas de comportamiento capaces de detectar este troyano y sus variantes, y pueden ayudarte a localizar la app concreta que lo está alojando.
Medidas de protección frente a SparkCat y otros troyanos con OCR
La primera lección que deja SparkCat es que el consejo de “instala solo desde tiendas oficiales” ya no basta. Si bien sigue siendo mucho más seguro que recurrir a repositorios alternativos, tanto Google Play como App Store han demostrado que pueden ser infiltradas por malware avanzado. Por tanto, hay que ir un paso más allá en la forma en que decides qué instalar.
Antes de descargar una app, comprueba que tenga muchas valoraciones, un volumen alto de descargas y cierto recorrido en el tiempo. Una aplicación recién publicada, con pocas reseñas y notas infladas puede ser sospechosa. Dedica un momento a leer las opiniones negativas: en el caso de ComeCome, por ejemplo, hubo usuarios que ya dejaban entrever comportamientos raros que podrían haber servido de aviso.
Otro hábito esencial es revisar con calma los permisos que solicita la app. Pregúntate si realmente tiene sentido que esa aplicación acceda a tu galería, a tu ubicación precisa, al micrófono o a tus contactos. Si no estás seguro de su legitimidad, evita darle acceso completo a todas tus fotos y vídeos; cuando sea posible, utiliza la opción de compartir solo imágenes concretas en lugar de la galería entera.
También es fundamental no almacenar información sensible en la galería. Guardar en fotos las frases de recuperación de wallets, documentos bancarios, contraseñas o capturas de servicios críticos es una muy mala idea. En su lugar, utiliza gestores de contraseñas o aplicaciones específicas que almacenen estos datos de forma cifrada y con protección adicional (PIN, biometría, etc.).
Por último, mantén el dispositivo siempre actualizado y protegido. Instalar las últimas versiones de Android o iOS ayuda a corregir vulnerabilidades que el malware podría explotar. Complementa esto con una suite de seguridad móvil confiable que pueda analizar apps, bloquear enlaces maliciosos y detectar comportamientos sospechosos incluso cuando se trata de amenazas nuevas.
Qué hacer si ya has instalado una app infectada
Si sospechas que has tenido o tienes una app vinculada a SparkCat o SparkKitty en tu móvil, lo más importante es actuar con rapidez y orden. No se trata solo de desinstalar y seguir como si nada: es probable que parte de tu información ya haya sido exfiltrada, de modo que tendrás que tomar medidas para limitar el daño.
El primer paso es desinstalar inmediatamente la aplicación sospechosa. Si no te deja eliminarla de forma normal o el sistema arroja errores, puedes reiniciar el dispositivo en modo seguro (en Android) para impedir que las apps de terceros se ejecuten, y desde ahí proceder a la desinstalación. En iOS, conviene retirar la app y cualquier perfil o certificado extraño que pudiera haber sido instalado.
A continuación, revisa en profundidad tu galería de fotos y haz inventario mental de qué información sensible podría haber allí: capturas de wallets, tarjetas bancarias, documentos de identidad, pantallazos de inicios de sesión, etc. Considera todos esos datos como potencialmente comprometidos, aunque no tengas una confirmación técnica de que se hayan enviado al servidor del atacante.
Con esa información en mente, cambia las contraseñas de todas las cuentas que pudieran haberse visto afectadas y, si tenías fotos de tarjetas bancarias, ponte en contacto con tu banco para bloquearlas o solicitar nuevas. En el ámbito de las criptomonedas, la situación es aún más delicada: si tu frase de recuperación ha quedado expuesta, la única opción segura es crear una nueva wallet y transferir todos los fondos, abandonando la anterior por completo.
Para reforzar la limpieza, ejecuta un análisis completo con una solución antivirus reputada en tu dispositivo. Esto te puede ayudar a detectar restos de componentes maliciosos o apps adicionales que hayan llegado junto al troyano principal. En los casos más extremos o si el teléfono presenta comportamientos muy extraños, plantearse un restablecimiento de fábrica puede ser la medida más radical, pero también la más efectiva para volver a un estado limpio.
El caso de SparkCat deja claro que tener fotos “por comodidad” de documentos, contraseñas o frases de seguridad en el móvil es mucho más arriesgado de lo que parece. Un solo permiso concedido a la app equivocada basta para que un troyano bien diseñado, como SparkCat o su evolución SparkKitty, lea lo que hay en tus imágenes, lo analice con OCR avanzado y lo envíe a delincuentes al otro lado del mundo. Protegerte implica cambiar hábitos: ser más exigente con las apps que instalas, vigilar los permisos, usar gestores de contraseñas y tratar tu galería como lo que realmente es hoy: una fuente de información extremadamente valiosa que debes blindar al máximo.
