A poco più di un anno dalla prima emersione di SparkCat, il malware mobile torna al centro dell’attenzione con una nuova variante che, secondo Kaspersky Threat Research, è riuscita ancora una volta a comparire su App Store e Google Play. Il trojan si nasconde dentro applicazioni che appaiono legittime e prova a sottrarre soprattutto le frasi di recupero dei portafogli di criptovalute presenti nelle immagini salvate sul telefono. La nuova campagna è stata riportata oggi da Kaspersky e rilanciata anche dalla stampa di settore italiana.
Il punto più delicato riguarda il meccanismo di attacco. La minaccia, infatti, non si limita a colpire app scaricate da canali alternativi, ma sfrutta anche app compromesse distribuite tramite gli store ufficiali. Kaspersky riferisce di avere individuato due applicazioni infette su App Store e una su Google Play, dalle quali il codice malevolo è stato poi rimosso. Secondo la società, la diffusione prosegue anche attraverso fonti di terze parti, comprese pagine web che imitano l’App Store quando vengono aperte da iPhone.
Il funzionamento resta coerente con la logica già osservata nella prima ondata di SparkCat. Il malware chiede l’accesso alla galleria fotografica, esamina il testo contenuto nelle immagini tramite OCR e cerca elementi utili per compromettere wallet crypto o altri dati sensibili. Kaspersky aveva già descritto nel febbraio 2025 SparkCat come il primo trojan stealer basato su OCR individuato anche nell’ecosistema App Store, con capacità di cercare screenshot contenenti seed phrase, password e altre informazioni riservate. Apple e Google avevano poi rimosso diverse app dagli store dopo quella scoperta.
Nella nuova variante emergono però differenze importanti tra Android e iOS. Sul versante Android, Kaspersky segnala una ricerca mirata di parole chiave in giapponese, coreano e cinese, elemento che porta a ipotizzare un focus particolare sugli utenti asiatici. Su iPhone, invece, la ricerca si concentra sulle frasi mnemoniche dei wallet in inglese, scelta che amplia potenzialmente il bacino delle possibili vittime oltre un’area geografica specifica. Questo dettaglio suggerisce una strategia più selettiva su Android e più ampia su iOS.
Dal punto di vista tecnico, Kaspersky sostiene che la nuova versione Android abbia alzato ulteriormente il livello di complessità con più strati di offuscamento, inclusa la virtualizzazione del codice e l’uso di linguaggi multipiattaforma, tecniche considerate poco comuni nel panorama del malware mobile. La società ritiene inoltre plausibile che dietro questa variante ci siano gli stessi autori già associati alla famiglia SparkCat, sulla base delle somiglianze con i campioni precedenti. Su questo aspetto, al momento, la ricostruzione pubblica disponibile arriva soprattutto dalla stessa Kaspersky.
Il caso conferma un punto che negli ultimi mesi si è già visto con altre campagne, inclusa SparkKitty, altra minaccia mobile descritta da Kaspersky nel 2025 e presentata come una sorta di “fratello minore” di SparkCat. Anche in quel caso il malware puntava alle immagini salvate sul dispositivo per recuperare dati utili a sottrarre criptovalute o informazioni personali. Il quadro che emerge è quello di una famiglia malware in evoluzione, capace di adattarsi ai controlli degli store ufficiali e di sfruttare abitudini molto diffuse, come conservare screenshot di seed phrase, password o documenti nella galleria del telefono.
Sul piano pratico, il consiglio più rilevante resta semplice: non conservare nella galleria immagini con informazioni sensibili, in particolare seed phrase, credenziali o documenti importanti. Anche il download da store ufficiali non basta più, da solo, a escludere il rischio. In questo scenario diventa utile controllare con attenzione permessi richiesti, storico dello sviluppatore e finalità reali dell’applicazione, oltre a mantenere attive soluzioni di sicurezza e protezioni di rete sul dispositivo. Kaspersky sostiene che su Android i suoi strumenti siano in grado di bloccare l’installazione del malware, mentre su iOS la difesa si concentra soprattutto sul blocco delle connessioni verso i server di comando e controllo.
