SparkCat è tornato, più silenzioso di prima, e questa volta si nasconde dentro app di food delivery e messenger aziendali sia su App Store che su Google Play.
Come funziona il furto
Il malware usa un sistema di OCR (riconoscimento ottico dei caratteri) per scansionare le immagini salvate nella galleria del telefono, cercando screenshot della seed phrase del wallet crypto.
La seed phrase è quella sequenza di 12-24 parole che chiunque abbia un wallet crypto conosce bene: chi ce l’ha, controlla tutto il saldo, per sempre.
La versione originale di SparkCat era già stata documentata oltre un anno fa, ma questa variante aggiornata ha superato i controlli di sicurezza di entrambi gli store ufficiali.
Il vettore che nessuno si aspetta
Il punto più insidioso è proprio il travestimento: non parliamo di app clone sospette scaricate da link Telegram, ma di app con categoria “enterprise messenger” e “food delivery”, categorie che l’utente medio considera affidabili.
Se hai mai fatto uno screenshot della tua seed phrase o della tua recovery key e lo tieni in galleria, considera quel wallet compromesso. Spostala offline adesso: carta fisica in posto sicuro, niente cloud, niente foto.
Il meccanismo di OCR integrato nel malware funziona in background, senza che l’utente noti rallentamenti evidenti o richieste di permessi anomale.
iOS non è immune, smettila di crederlo
La scoperta di SparkCat sull’App Store di Apple è la conferma di qualcosa che ripeto da anni: il “giardino recintato” è una narrativa di marketing, non una garanzia di sicurezza assoluta.
I ricercatori di cybersecurity hanno trovato questa variante su entrambe le piattaforme, il che significa che né il processo di review di Apple né quello di Google è riuscito a bloccarla in tempo.
La lezione pratica è una sola: non salvare mai la seed phrase in forma digitale, punto. Chi ti dice “tanto uso iPhone” sta sottovalutando il rischio in modo pericoloso, e i dati di SparkCat lo dimostrano nero su bianco.
Stay tech 🦾
