I portafogli di criptovalute degli utenti mobile sono di nuovo nel mirino dei cybercriminali. I ricercatori di Kaspersky hanno individuato una nuova e sofisticata variante del trojan SparkCat, un malware letale specializzato nello svuotare i fondi digitali scansionando in background le gallerie fotografiche dei telefoni alla ricerca delle “seed phrase” (le parole di recupero dei wallet). Già espulso in passato dagli store ufficiali, il virus è tornato in azione sia su Android che su iOS, mimetizzandosi in insospettabili app di messaggistica aziendale e di food delivery distribuite tramite siti di terze parti ingannevoli. Grazie all’uso di rare tecniche di virtualizzazione del codice e linguaggi cross-platform, questa minaccia riesce a eludere i controlli di sicurezza con estrema efficacia, dimostrando ancora una volta quanto sia pericoloso e sconsigliato conservare le chiavi d’accesso ai propri risparmi sotto forma di banali screenshot. Kaspersky ha identificato una nuova evoluzione del trojan SparkCat, malware mobile specializzato nel furto di wallet di criptovalute tramite scansione delle immagini salvate sullo smartphone. Dopo la rimozione dagli store ufficiali avvenuta lo scorso anno, il codice malevolo torna in circolazione nascosto dentro applicazioni dall’aspetto del tutto legittimo, in particolare messenger aziendali e app di food delivery. Il comportamento di base rimane lo stesso: il malware ottiene accesso alla galleria fotografica e cerca automaticamente le seed phrase dei portafogli crypto, spesso conservate dagli utenti in screenshot o foto. La novità più pericolosa è però l’introduzione di tecniche di offuscamento rare nel malware mobile, come la virtualizzazione del codice e l’uso di framework cross-platform, che rendono la nuova variante molto più difficile da rilevare.
Cosa leggere
SparkCat si nasconde in messenger e app di consegna cibo
La nuova campagna osservata da Kaspersky mostra un salto di qualità nella fase di distribuzione. Il trojan viene inserito in applicazioni che imitano servizi professionali e quotidiani, come strumenti di messaggistica interna per aziende e piattaforme di consegna cibo. Una volta installata l’app, il malware opera in background senza alterare il comportamento visibile del software, riducendo drasticamente i sospetti dell’utente. L’accesso alla galleria viene richiesto come permesso apparentemente legittimo, coerente con funzioni di upload immagini o avatar. In realtà proprio questa autorizzazione permette a SparkCat di analizzare screenshot, backup fotografici e immagini contenenti dati sensibili, trasformando app comuni in un canale diretto per il furto di criptovalute.
Android e iOS vengono colpiti con target linguistici diversi
Uno degli aspetti più interessanti della nuova variante è la differenziazione strategica tra Android e iOS. Sui dispositivi Android il malware cerca parole chiave in giapponese, coreano e cinese, segnale di un targeting forte verso utenti asiatici e mercati crypto molto attivi. La variante iOS, invece, concentra la scansione su seed phrase in inglese, ampliando il potenziale di impatto verso mercati occidentali e utenti internazionali. Questa distinzione suggerisce una progettazione molto più mirata rispetto alle versioni precedenti, con moduli adattati al profilo linguistico più probabile della vittima. In pratica gli operatori dietro SparkCat non distribuiscono più un unico payload generalista, ma adattano la logica di ricerca al sistema operativo e al contesto geografico.
La virtualizzazione del codice rende SparkCat più difficile da analizzare
La vera evoluzione tecnica della nuova variante riguarda le difese contro il reverse engineering. Kaspersky ha confermato l’uso di virtualizzazione del codice, tecnica che trasforma le istruzioni reali in una forma astratta eseguita da una macchina virtuale interna. Questo approccio è ancora poco comune nel malware mobile e aumenta enormemente la complessità dell’analisi statica e dinamica. A questo si aggiunge l’uso di linguaggi e framework cross-platform, che permettono di riutilizzare gran parte del codice su Android e iOS, riducendo il costo di sviluppo per gli operatori e migliorando la portabilità delle future varianti. Il risultato è un trojan molto più resistente agli aggiornamenti degli antivirus mobili e alle contromisure degli store ufficiali.
Il trojan continua a rubare le seed phrase salvate nelle foto
Nonostante l’evoluzione tecnica, il cuore dell’attacco resta invariato: la ricerca automatica delle frasi di recupero dei wallet crypto. Molti utenti, per comodità, salvano le proprie seed phrase da 12 o 24 parole in screenshot, note fotografiche o immagini inviate tramite app di messaggistica. SparkCat sfrutta proprio questa cattiva pratica, analizzando la galleria alla ricerca di pattern linguistici tipici delle recovery phrase. Una volta trovate, le immagini vengono elaborate e i dati inviati agli operatori del malware, che possono svuotare il wallet in pochi minuti senza ulteriori interazioni con la vittima. Questo rende particolarmente vulnerabili gli utenti che gestiscono Bitcoin, Ethereum, Solana e wallet multi-chain direttamente dal telefono.
I siti che imitano l’App Store continuano a diffondere SparkCat
Un altro elemento critico è la persistenza della distribuzione anche dopo la rimozione parziale dagli store ufficiali. Kaspersky ha osservato la diffusione di app infette tramite siti di terze parti che imitano l’App Store o Google Play, riproducendo grafica, schede app e pulsanti di download quasi indistinguibili dagli originali. Questo consente agli operatori di mantenere attiva la campagna anche quando una specifica applicazione viene rimossa dai marketplace ufficiali. Il rischio aumenta soprattutto per chi scarica APK, build enterprise o installer alternativi trovati tramite motori di ricerca o link social. Il design professionale delle app fake, spesso basate su messenger e servizi di food delivery, sfrutta la fiducia dell’utente e abbassa ulteriormente la soglia di sospetto.
Gli utenti crypto devono smettere di salvare seed phrase sul telefono
Il ritorno di SparkCat conferma una lezione ormai fondamentale nella sicurezza mobile: non bisogna mai conservare le seed phrase in formato fotografico sullo smartphone. Anche un malware apparentemente semplice può trasformare la galleria in una fonte diretta di accesso ai fondi digitali. La nuova variante aggiunge stealth, targeting linguistico e offuscamento avanzato, ma continua a sfruttare un’abitudine estremamente diffusa tra gli utenti crypto. La difesa più efficace resta la conservazione offline delle frasi di recupero, preferibilmente su supporti fisici non digitali, unita all’installazione esclusiva di app provenienti da fonti verificate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
