Uma nova variante do malware SparkCat foi identificada em aplicativos disponíveis tanto na App Store quanto na Google Play, ampliando os riscos para usuários de dispositivos móveis — especialmente aqueles que utilizam criptomoedas. A ameaça, que já havia sido documentada anteriormente, evoluiu significativamente e agora adota técnicas mais sofisticadas para roubo de informações sensíveis.

De acordo com análises conduzidas pela Kaspersky, o malware está sendo distribuído por meio de aplicativos aparentemente legítimos, como mensageiros corporativos e serviços de entrega de comida. Uma vez instalado, o aplicativo solicita acesso à galeria do dispositivo e passa a analisar silenciosamente as imagens armazenadas.

O objetivo é específico: identificar frases de recuperação de carteiras de criptomoedas, conhecidas como “seed phrases”. Para isso, o SparkCat utiliza tecnologia de reconhecimento óptico de caracteres (OCR), capaz de extrair texto de imagens. Caso identifique palavras-chave relevantes, o malware envia automaticamente essas imagens para servidores controlados pelos hackers.

A variante para iOS chama atenção por seu alcance mais amplo. Diferentemente da versão Android, que busca termos em idiomas asiáticos como japonês, coreano e chinês, a versão para iPhone foca em frases em inglês — o que amplia significativamente o número de potenciais vítimas em nível global.

Já no Android, o malware evoluiu em termos técnicos, incorporando múltiplas camadas de ofuscação, incluindo virtualização de código e uso de linguagens multiplataforma. Essas técnicas dificultam a análise por ferramentas de segurança e tornam a detecção mais complexa.

O SparkCat foi inicialmente identificado em fevereiro de 2025 e, desde então, tem demonstrado evolução contínua, indicando que se trata de uma operação ativa e em desenvolvimento. Há indícios de que os hackers por trás da campanha sejam falantes de chinês, embora a atribuição definitiva ainda não tenha sido confirmada.

Especialistas alertam que o ataque explora um comportamento comum entre usuários de criptomoedas: armazenar capturas de tela com frases de recuperação diretamente na galeria do celular — uma prática altamente insegura. Com acesso a essas informações, hackers podem restaurar carteiras e transferir fundos sem qualquer possibilidade de reversão.

O caso reforça um alerta crítico: mesmo aplicativos disponíveis em lojas oficiais não estão imunes a ameaças. A combinação de engenharia social, permissões excessivas e técnicas avançadas de evasão está tornando o ambiente mobile um dos principais vetores de ataque atualmente.