TikTok se ha convertido en una de las apps que ofrece una mayor cantidad de tiempo de entretenimiento a los usuarios españoles. Ahora, los analistas de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que tiene como objetivo los smartphones con iOS y Android y que se aprovecha de la popular aplicación.

Este nuevo malware envía imágenes desde el teléfono infectado e información sobre el dispositivo a los atacantes y ha sido detectado en una versión troyanizada de TikTok, distribuyéndose tanto a través de App Store y Google Play como en páginas web fraudulentas, así como en aplicaciones relacionadas con criptomonedas y apuestas.

Según los expertos, el objetivo de los ciberdelincuentes es robar criptoactivos de residentes del Sudeste Asiático y China, pero los usuarios en España también podrían estar en riesgo de sufrir una amenaza similar.

"Después de instalar las apps, estas funcionan tal como prometen en su descripción. Sin embargo, al mismo tiempo envían fotos de la galería del smartphone a los ciberdelincuentes. Después, estos intentan localizar en las imágenes datos confidenciales", explica Dmitry Kalinin, experto en malware de Kaspersky.

Kalinin continúa comentando que su objetivo son "frases de recuperación de monederos de criptomonedas, para acceder a los activos de las víctimas. Hay varios indicios de que los atacantes buscan activos digitales específicamente: muchas de las apps infectadas están relacionadas con criptomonedas, y la versión troyanizada de TikTok incluye una tienda integrada que solo acepta pagos en criptomonedas".

La compañía de ciberseguridad ya ha notificado a Google y Apple sobre las aplicaciones maliciosas.

Mecánica en iOS

Los primeros detalles técnicos facilitados por los analistas apuntan a que esta nueva campaña de malware podría estar vinculada con el ya conocido troyano SparkCat, el primer malware en iOS con un módulo de reconocimiento óptico de caracteres (OCR) integrado.

Este software le permitía escanear galerías de imágenes y robar capturas de pantalla con frases de recuperación o contraseñas de monederos de criptomonedas. Ahora SparkKitty sería el segundo troyano de robo de información detectado en App Store en el último año.

Pese a que estaba presente tanto en iOS como en Android, la apariencia no era exactamente la misma, debido a las diferencias en las tiendas de aplicaciones. Por un lado en la App Store, el troyano adoptaba la apariencia de una aplicación de criptomonedas llamada 币coin.

Aunque la mayor popularidad, y una de las estrategias más ambiciosas de los ciberdelincuentes, era que lo distribuían camuflado como aplicaciones de TikTok y de apuestas, a través de páginas de phishing que imitaban la App Store oficial de iPhone. Es por eso que Apple blinda sus aplicaciones en la App Store.

"Los ciberdelincuentes utilizan páginas web falsas para intentar infectar los iPhones de las víctimas. iOS permite instalar aplicaciones fuera de la App Store mediante vías legítimas, como las herramientas para desarrolladores usadas para distribuir apps corporativas. En esta campaña, los atacantes han explotado este método", detalla Sergey Puzan, experto en malware de Kaspersky.

"En la versión infectada de TikTok, el malware no solo roba las fotos de la galería del dispositivo durante el inicio de sesión, sino que también añade enlaces a una tienda sospechosa en el perfil del usuario. Esta tienda solo acepta pagos en criptomonedas, lo que refuerza nuestras sospechas sobre su verdadero propósito”, puntualiza Puzan.

Estrategia en Android

En Android por su parte los atacantes se dirigen a los usuarios tanto en páginas web de terceros como en Google Play, donde el malware se hace pasar por diversos servicios relacionados con criptomonedas.

Una de las aplicaciones infectadas, un servicio de mensajería llamado SOEX con función de intercambio de criptomonedas, se descargó más de 10.000 veces desde la tienda oficial.

La compañía de seguridad explica que también han encontrado archivos APK de las apps infectadas —que pueden instalarse directamente en los smartphones Android sin pasar por las tiendas oficiales— en webs de terceros que probablemente están relacionados con la campaña maliciosa detectada.

Estas apps se presentan como proyectos de inversión en criptomonedas. Las páginas web donde se alojan estas aplicaciones se anunciaban en redes sociales, incluyendo YouTube.