SparkCat: El nuevo malware que roba criptomonedas desde la App Store y Google Play

En un contexto donde la digitalización y el uso de billeteras digitales se han vuelto parte esencial de la vida cotidiana en el Perú, surge una nueva y sofisticada amenaza que pone en jaque la seguridad de los usuarios de smartphones. Se trata de SparkCat, un malware de última generación detectado recientemente por la firma de ciberseguridad Kaspersky. Este código malicioso ha logrado lo que muchos consideraban difícil: infiltrarse en las tiendas oficiales de aplicaciones, tanto en la App Store de Apple como en Google Play de Android, ocultándose bajo la apariencia de programas legítimos y funcionales. La peligrosidad de esta amenaza radica en su capacidad para operar de manera silenciosa, analizando la información más sensible almacenada en los dispositivos de las víctimas con un objetivo muy claro: el robo de activos en criptomonedas.

¿Qué es SparkCat y cómo opera en dispositivos móviles?

SparkCat no es un virus convencional que simplemente busca dañar el sistema operativo o mostrar publicidad no deseada. Según los informes técnicos de Kaspersky, se define como una amenaza en evolución que utiliza técnicas avanzadas de reconocimiento para extraer datos específicos. Su funcionamiento se basa en el análisis exhaustivo de las galerías de imágenes de los teléfonos comprometidos. Una vez que el usuario descarga e instala una de las aplicaciones infectadas, el malware solicita permisos que parecen razonables para el tipo de herramienta que se está utilizando, pero que en realidad le otorgan acceso total a las fotos y capturas de pantalla guardadas en la memoria del equipo. Este acceso es el punto de partida para una operación de espionaje digital altamente dirigida.

La sofisticación de SparkCat reside en su capacidad para procesar imágenes de forma local y remota. A diferencia de otros malwares que simplemente roban archivos al azar, SparkCat busca patrones específicos que coincidan con las necesidades de los ciberdelincuentes. En el mundo de las criptomonedas, la seguridad depende de las llamadas frases de recuperación o seed phrases, que son conjuntos de palabras que permiten restaurar una billetera digital en cualquier dispositivo. Muchos usuarios, por comodidad o desconocimiento de los riesgos, suelen tomar capturas de pantalla de estas frases para no olvidarlas. Es precisamente este hábito el que SparkCat explota, convirtiendo una medida de respaldo personal en una puerta abierta para el vaciado de sus fondos digitales.

El sigilo de las aplicaciones aparentemente legítimas

Uno de los aspectos más alarmantes de esta campaña de ciberataques es la naturaleza de las aplicaciones utilizadas como fachada. Kaspersky ha identificado que el malware se ha ocultado en herramientas de uso cotidiano y profesional. Entre las aplicaciones comprometidas se encuentran programas de mensajería desarrollados específicamente para la comunicación empresarial, donde la confianza del usuario suele ser mayor, y también en una aplicación de entrega de comida. Al estar presentes en tiendas oficiales como Google Play y App Store, los usuarios bajan la guardia, asumiendo que los filtros de seguridad de Google y Apple ya han verificado la integridad del software. Sin embargo, los desarrolladores de SparkCat han logrado evadir estos mecanismos de verificación iniciales mediante técnicas de ofuscación de código.

Además de su presencia en las tiendas oficiales, se ha detectado que estas aplicaciones infectadas se distribuyen a través de canales alternativos. Los investigadores señalan que existen páginas web diseñadas para simular la interfaz de la App Store de Apple. Cuando un usuario accede a estos sitios desde un iPhone, se le induce a descargar la aplicación creyendo que está dentro del ecosistema seguro de la marca. Esta táctica de ingeniería social amplía significativamente el alcance de la amenaza, afectando incluso a aquellos usuarios que son cautelosos con las fuentes de descarga. La capacidad de los atacantes para replicar interfaces oficiales demuestra un nivel de recursos y planificación que sitúa a SparkCat como una de las amenazas móviles más preocupantes de lo que va del año 2026.

El uso de tecnología OCR para el robo de datos

La verdadera innovación técnica de SparkCat, y lo que lo hace extremadamente peligroso, es la integración de un módulo de reconocimiento óptico de caracteres (OCR). Esta tecnología permite al malware leer el texto contenido dentro de las imágenes almacenadas en el celular. No se limita a ver la imagen como un archivo estático, sino que la procesa para identificar palabras clave. Si el sistema detecta términos relacionados con billeteras de criptomonedas o secuencias de palabras que se asemejan a una frase semilla, el contenido es extraído automáticamente y enviado a los servidores controlados por los ciberdelincuentes. Este proceso ocurre en segundo plano, sin que el usuario note una degradación significativa en el rendimiento de su equipo o un consumo excesivo de batería que pudiera despertar sospechas.

El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales

Diferencias tácticas entre las versiones de Android e iOS

El análisis de telemetría realizado por los expertos de seguridad ha revelado que SparkCat adapta sus tácticas dependiendo del sistema operativo que infecta. En el caso de los dispositivos Android, la variante actualizada del malware está programada para buscar palabras clave específicas en idiomas como japonés, coreano y chino. Esto sugiere que, inicialmente, la campaña tuvo un enfoque muy marcado hacia el mercado asiático, donde el uso de criptoactivos es masivo. El malware escanea las galerías en busca de capturas de pantalla que contengan caracteres de estos idiomas vinculados a plataformas de intercambio locales, lo que demuestra una segmentación geográfica muy precisa por parte de los atacantes.

Por otro lado, la versión diseñada para el sistema iOS de Apple adopta un enfoque más global. En lugar de centrarse en idiomas asiáticos, esta variante busca códigos de recuperación y frases de seguridad en inglés. Al apuntar al idioma anglosajón, los desarrolladores de SparkCat expanden potencialmente su radio de acción a usuarios de todo el mundo, incluyendo Europa y América Latina. En el Perú, donde muchos usuarios configuran sus billeteras digitales en inglés o utilizan plataformas internacionales, el riesgo es inminente. Esta dualidad en el ataque muestra que los responsables detrás de SparkCat son un grupo organizado con la capacidad de gestionar múltiples líneas de desarrollo de software malicioso de forma simultánea.

La evolución de una amenaza persistente

Es importante destacar que SparkCat no es una amenaza totalmente nueva, sino la evolución de una variante detectada hace aproximadamente un año. En su versión anterior, el malware ya se dedicaba al robo de criptomonedas, pero sus métodos eran menos sofisticados y más fáciles de detectar por las soluciones antivirus tradicionales. La versión de 2026 ha sido refinada para ser más resistente a la detección y para infiltrarse en aplicaciones que tienen una base de usuarios legítima y activa. Los investigadores de Kaspersky, liderados por Fabio Assolini, han notado similitudes estructurales en el código que confirman que se trata de los mismos desarrolladores perfeccionando su herramienta de ataque.

Este ciclo de mejora continua es característico del cibercrimen moderno. Los atacantes analizan por qué sus versiones anteriores fallaron o fueron detectadas y aplican parches para superar esas barreras. En el caso de SparkCat, la inclusión del módulo OCR y la capacidad de ocultarse en aplicaciones de entrega de comida o mensajería corporativa son respuestas directas a la mejora de los sistemas de seguridad de los smartphones. Al mimetizarse con el tráfico de datos normal de una aplicación de delivery, por ejemplo, el malware logra pasar desapercibido ante los monitores de red que buscan comportamientos anómalos.

Impacto en el ecosistema de criptoactivos

El robo de frases de recuperación es uno de los golpes más devastadores para un inversor en criptomonedas. A diferencia de una tarjeta de crédito, donde se pueden revertir cargos fraudulentos o bloquear la cuenta con una llamada al banco, en el mundo de la cadena de bloques (blockchain), una vez que los fondos son transferidos a otra billetera, la recuperación es prácticamente imposible. SparkCat ataca el eslabón más débil de la cadena de seguridad: el comportamiento del usuario. Al obtener la frase semilla, los delincuentes tienen control total y absoluto sobre los activos, pudiendo vaciar cuentas de Bitcoin, Ethereum o cualquier otro token en cuestión de segundos.

Este tipo de malware también genera una crisis de confianza en las tiendas oficiales de aplicaciones. Si los usuarios ya no pueden confiar plenamente en que lo que descargan de Google Play o App Store es seguro, se pone en riesgo todo el modelo de distribución de software móvil. Apple y Google ya han sido notificados por Kaspersky sobre estas aplicaciones maliciosas y han procedido a eliminarlas de sus catálogos. Sin embargo, el daño para quienes ya fueron infectados es irreversible si no tomaron medidas preventivas a tiempo. La recomendación de los expertos es clara: nunca, bajo ninguna circunstancia, se debe guardar una frase de recuperación en formato de imagen o texto dentro del dispositivo móvil.

Recomendaciones de seguridad para usuarios en Perú

Ante la presencia de amenazas como SparkCat, los especialistas en ciberseguridad sugieren una serie de pasos críticos para proteger la integridad de los datos personales y financieros. En primer lugar, es fundamental revisar los permisos que otorgamos a las aplicaciones. Si una herramienta de mensajería o una aplicación de delivery solicita acceso permanente a la galería de fotos, debemos cuestionar la necesidad de dicho permiso y, de ser posible, denegarlo. La mayoría de las funciones de estas apps pueden operar con accesos limitados o temporales. Además, el uso de soluciones de seguridad móvil robustas, como las ofrecidas por Kaspersky u otras firmas reconocidas, es una capa de defensa necesaria que puede detectar el comportamiento de SparkCat antes de que logre extraer información.

Otra medida vital es la educación digital. Los usuarios deben entender que las capturas de pantalla no son lugares seguros para almacenar contraseñas, códigos de autenticación de dos factores o frases semilla de criptomonedas. Lo ideal es utilizar gestores de contraseñas cifrados o, en el caso de las criptomonedas, recurrir a billeteras de hardware (cold wallets) que mantienen las claves privadas fuera de cualquier conexión a internet. En el Perú, donde el interés por las inversiones digitales sigue creciendo, la prevención es la mejor herramienta contra una ciberdelincuencia que no deja de evolucionar y que ahora, con SparkCat, ha demostrado que puede estar escondida en la aplicación más inofensiva de nuestro celular.