Una nuova minaccia torna a far parlare di sé nel panorama della sicurezza mobile. I ricercatori di Kaspersky hanno individuato una variante aggiornata del malware SparkCat, capace di infiltrarsi sia nel Google Play Store che nell’Apple App Store, aggirando i sistemi di controllo delle due piattaforme. Si tratta di un’evoluzione particolarmente insidiosa rispetto alla versione già emersa oltre un anno fa, con capacità tecniche più avanzate e un raggio d’azione ampliato.
Il funzionamento resta apparentemente semplice ma estremamente efficace. SparkCat si nasconde all’interno di applicazioni che sembrano legittime, come servizi di messaggistica aziendale o app legate al food delivery. Una volta installate, queste applicazioni continuano a funzionare normalmente, mentre in background il malware avvia una serie di operazioni invisibili all’utente.
L’obiettivo è molto specifico: individuare e sottrarre le cosiddette seed phrase dei wallet di criptovalute, ovvero le chiavi di recupero che permettono l’accesso ai fondi digitali. Per riuscirci, SparkCat sfrutta tecnologie di riconoscimento ottico dei caratteri, analizzando le immagini salvate nella galleria dello smartphone. Se individua testi compatibili con le sequenze tipiche delle seed phrase, li estrae e li invia a server remoti controllati dai cybercriminali. Un approccio che dimostra come le minacce moderne non si limitino più a colpire direttamente le app finanziarie, ma puntino anche ai comportamenti degli utenti, come la pratica – purtroppo diffusa – di salvare dati sensibili sotto forma di screenshot.
Uno degli aspetti più interessanti emersi dall’analisi riguarda le differenze tra le versioni del malware. La variante Android risulta più sofisticata, con livelli avanzati di offuscamento del codice e tecniche di virtualizzazione che rendono più difficile l’individuazione da parte dei sistemi di sicurezza. Inoltre, è progettata per riconoscere lingue asiatiche come cinese, giapponese e coreano.
La versione destinata a iOS, pur essendo meno complessa dal punto di vista tecnico, amplia il raggio d’azione grazie al supporto alla lingua inglese, aumentando così il numero potenziale di utenti coinvolti. Secondo gli esperti, dietro questa operazione potrebbe esserci un gruppo organizzato con base in Asia, specializzato nel furto di asset digitali. Le applicazioni compromesse sono già state segnalate e rimosse dagli store ufficiali, ma il caso evidenzia ancora una volta come anche gli ecosistemi considerati più sicuri non siano immuni da rischi.
Dal punto di vista pratico, la vicenda rappresenta un promemoria importante. Conservare informazioni sensibili come le chiavi di accesso ai wallet in formato digitale, soprattutto tra le immagini del telefono, può esporre a rischi significativi. Allo stesso modo, scaricare app anche dagli store ufficiali richiede comunque attenzione, privilegiando sviluppatori affidabili e controllando recensioni e autorizzazioni richieste. In un contesto in cui le criptovalute continuano a diffondersi, è inevitabile che aumenti anche l’interesse da parte dei cybercriminali. SparkCat dimostra come le tecniche si stiano evolvendo rapidamente, puntando su intelligenza artificiale e automazione per rendere gli attacchi più mirati e difficili da individuare.