We all trust official app stores like the Apple App Store and Google Play to keep our phones safe. But what if a seemingly harmless app from an official store is actually a Trojan in disguise?

It’s rare, but it does happen – and when it does, it can put all kinds of personal data at risk (yes, even your beloved cat photos). A recent example making headlines is the SparkKitty malware, a sneaky Trojan found lurking in both Apple’s and Google’s app stores.

SparkKitty: A Sneaky Trojan Hiding in Plain Sight

SparkKitty is essentially a spy app – a Trojan – designed to steal photos from victims’ smartphones. Kaspersky researchers discovered it in June 2025, and it turned out to be the second time ever that a malware Trojan had snuck into Apple’s App Store (the first was a related malware called SparkCat). On the App Store, SparkKitty came bundled inside a crypto tracking app called 币coin, which Apple has since removed (Kapersky 2025). Over on Google Play, the Android version of SparkKitty was hidden in a messaging app with cryptocurrency exchange features (called SOEX), which had over 10,000 downloads before Google pulled it down (Bill Toulas, 2025) .

As any other app, as any other “innocent” application asks for permission to access your storage or photo gallery. On iPhones, the fake app would prompt for access to your photo gallery; on Android phones, it asked for file storage permissions. Granting access was all it needed. After that, SparkKitty quietly copied every photo from the device and sent them off to the attackers’ server. It didn’t matter if it was a picture of your cat or a screenshot of a bank transfer – everything was stolen.

Why steal images?

One big motive is cryptocurrency: many people screenshot their crypto wallet recovery phrases or QR codes for convenience, even though they shouldn’t. Those secret keys stored in images can give a thief full access to your funds. In fact, SparkKitty’s older “sibling” SparkCat even used text recognition (OCR) to scan images for crypto wallet phrases. Beyond crypto, any sensitive info in your photos (IDs, passwords, personal moments) could be misused – from identity theft to extortion. (Bill Toulas, 2025), and remember a malicious app on a global store can reach anyone, whether you’re in New York or Queensland, in the case of SparKitty’s campaign initially targeted users in regions like Southeast Asia and China, according to Kaspersky’s data.

Other Mobile Malware Incidents

Australia hasn’t been spared either. In fact, at the end of 2023, cybersecurity researchers found a stealthy Android backdoor called Xamalicious that had infected over 340,000 devices worldwide via apps on Google Play – including thousands of phones in Australia. This malware was hidden in at least 14 different apps ranging from horoscope apps to Minecraft skin editors and even a calorie counter, each with tens of thousands of downloads. Google removed those apps once alerted, but many Aussie users who installed them were unknowingly carrying the infection until they ran security scans. Cases like Xamalicious show that even mundane-sounding apps (who would suspect a Horoscope or Logo Maker app?) can be Trojan horses. ( Brett Wadleton, 2023)

The bottom line: official store = safer, not safest. These incidents remind us that we can’t rely solely on Apple or Google to catch every threat.

How to Protect Yourself on Mobile

• Stick to official stores, but stay alert: Only download apps from Google Play or Apple’s App Store – apps from random websites or links are much more likely to be malware. Kapersky 2025
• Check app permissions: When an app asks for access to something sensitive, pause and think “why does it need this?” If a simple game or crypto price tracker wants to read your photo gallery, that’s a red flag. Deny permissions that don’t make sense, or uninstall the app.
• Avoid unknown sources and weird installs: Never install apps via SMS links or emails claiming you need an “update”. If you see a prompt to install a profile for an app, it’s likely a trap.
• Keep your device updated: Both Android and iOS release regular updates that patch security holes. Make sure your phone’s operating system and all your apps are up to date. Turn on automatic updates if you can.
• Use mobile security tools: Consider installing a reputable mobile security app, especially if you’re on Android. Good antivirus apps can detect and remove many malware apps before they do harm. And of course, always back up your important data in case the worst happens.
• Protect your sensitive data (and don’t photograph secrets): Avoid keeping extremely sensitive information in easily accessible places. For example, never screenshot your bank passwords or crypto wallet seed phrases and leave them in your photo gallery.if you really must take a photo of something sensitive (say, a passport scan or a private document), moving it to a secure, encrypted folder or cloud storage and deleting it from your main gallery.

REFERENCES

• Kapersky 2025 https://www.kaspersky.com/blog/ios-android-stealer-sparkkitty/53675/
• Bill Toulas, 2025 (//www.bleepingcomputer.com/news/security/malware-on-google-play-app-store-stole-your-photos-and-crypto)
• Ghandi Viral, 2020, (https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play)
• Brett Wadleton, 2023 ( https://7news.com.au/technology/more-malicious-android-apps-infect-thousands-of-phones-in-australia-c-13050970)

Tus Fotos de Gatos Están en Peligro: Troyanos en las Tiendas Oficiales de Aplicaciones

Todos confiamos en las tiendas oficiales de aplicaciones como la App Store de Apple y Google Play para mantener nuestros móviles seguros. Al fin y al cabo, estas plataformas supuestamente revisan cada app antes de publicarla.Pero ¿qué pasa si una aplicación aparentemente inofensiva en realidad es un troyano disfrazado?

Es poco común, pero sucede – y cuando pasa, puede poner en riesgo todo tipo de información personal (sí, ¡hasta tus adoradas fotos de gatos!). Un ejemplo reciente que ha generado titulares es SparkKitty, un Troyano sigiloso que se detectó en ambas tiendas oficiales.

SparkKitty: Un Troyano Escondido a Simple Vista

SparkKitty estaba escondido dentro de una app llamada 币coin en la App Store de Apple, haciéndose pasar por un rastreador de precios de criptomonedas. Esta app, que parecía inofensiva (con una calificación mediocre de 2.8), en realidad robaba las fotos de los usuarios sin que lo notaran.

SparkKitty es básicamente una app espía – un troyano – diseñada para robar fotos de los teléfonos de las víctimas. Investigadores de Kaspersky lo descubrieron en junio de 2025, y resultó ser apenas la segunda vez en la historia que un troyano lograba colarse en la App Store de Apple (el primero fue otro malware relacionado llamado SparkCat). En la App Store, SparkKitty venía disfrazado dentro de la app de criptomonedas 币coin, la cual Apple ya eliminó (Kaspersky, 2025). En Google Play, la versión para Android estaba oculta en una app de mensajería con funciones de intercambio de criptomonedas llamada SOEX, que llegó a superar las 10.000 descargas antes de que Google también la retirara. (Bill Toulas, 2025)

Como cualquier otra app “inocente”, SparkKitty pedía permiso para acceder a tu almacenamiento o galería de fotos. Una vez autorizado, SparkKitty copiaba silenciosamente todas tus fotos y las enviaba al servidor de los atacantes. No importaba si era una selfie, una foto de tu gato o una captura de una transferencia bancaria – todo era robado.

¿Por qué robar imágenes?

Una gran razón es el mundo de las criptomonedas: muchas personas hacen capturas de pantalla de sus frases de recuperación o códigos QR de sus billeteras, aunque no deberían. Esas claves privadas, almacenadas en fotos, pueden dar acceso total a un ladrón. De hecho, el “hermano mayor” de SparkKitty, SparkCat, incluso usaba reconocimiento de texto (OCR) para escanear imágenes en busca de frases clave de billeteras. Más allá de las criptos, cualquier información sensible en tus fotos (documentos, contraseñas, momentos personales) podría usarse para robo de identidad o chantaje. (Bill Toulas, 2025)

Y no olvides que una app maliciosa en una tienda global puede llegar a cualquier parte: ya sea Nueva York o Queensland. En el caso de SparkKitty, la campaña inicialmente apuntaba a usuarios en el sudeste asiático y China, según datos de Kaspersky.

Otros Casos de Malware en Apps

Australia tampoco se ha salvado. A fines de 2023, investigadores descubrieron un malware sigiloso llamado Xamalicious, que infectó más de 340.000 dispositivos en todo el mundo a través de apps de Google Play – incluyendo miles de teléfonos en Australia. Este malware se escondía en al menos 14 apps distintas: desde horóscopos hasta editores de “skins” para Minecraft y contadores de calorías, todas con decenas de miles de descargas. Google retiró las apps al ser alertado, pero muchos usuarios australianos ya las habían instalado sin saber que estaban infectados, hasta que corrieron escaneos de seguridad. (Brett Wadleton, 2023) Casos como Xamalicious nos recuerdan que hasta apps con nombres comunes (“Horóscopo” o “Creador de Logos”) pueden ser caballos de Troya.

En resumen: tienda oficial = más segura, pero no infalible. No podemos depender solo de Apple o Google para detectar cada amenaza.

Cómo Protegerte en el Móvil

• Usa solo tiendas oficiales, pero mantente alerta: Descarga apps solo desde Google Play o la App Store de Apple – las apps desde enlaces o sitios desconocidos tienen muchas más probabilidades de ser maliciosas. (Kaspersky, 2025)
• Revisa los permisos de las apps: Cuando una app pida acceso a algo delicado, pregúntate “¿por qué necesita esto?”. Si un juego simple o una app de criptomonedas quiere acceder a tus fotos, eso es una alerta. Niega los permisos que no tengan sentido, o desinstala la app.
• Evita fuentes desconocidas o instalaciones raras: Nunca instales apps desde enlaces en SMS o correos que dicen que necesitas una “actualización”. Si ves un mensaje que te pide instalar un perfil para una app, probablemente sea una trampa.
• Mantén tu dispositivo actualizado: Android e iOS publican actualizaciones de seguridad regularmente. Asegúrate de tener el sistema operativo y las apps al día. Activa las actualizaciones automáticas si es posible.
• Usa herramientas de seguridad móvil: Considera instalar una app antivirus confiable, sobre todo si usas Android. Estas herramientas pueden detectar y eliminar malware antes de que cause daño. Y por supuesto, haz copias de seguridad de tus datos importantes por si ocurre lo peor.
• Protege tu información sensible (¡y no fotografíes secretos!): Evita guardar datos extremadamente delicados en lugares fáciles de acceder. Por ejemplo, nunca hagas capturas de tus contraseñas bancarias o frases de recuperación de criptomonedas y las dejes en tu galería. Si realmente necesitas guardar algo sensible (como una foto de tu pasaporte), muévela a una carpeta segura y cifrada o a una nube protegida, y bórrala de la galería principal.