SparkCat: Trojan Atualizado Busca Imagens com Seed Phrases de Criptomoedas em Dispositivos
Uma nova versão do trojan SparkCat foi descoberta na App Store e Google Play, focando em roubar seed phrases de carteiras de criptomoedas. A malware utiliza OCR para analisar imagens na galeria do usuário.
MundiX News·14 de abril de 2026·5 min de leitura·👁 2 views
Especialistas da Kaspersky Lab identificaram uma versão atualizada do trojan SparkCat na App Store e Google Play, mais de um ano após sua primeira detecção e remoção das lojas oficiais. A versão atualizada do malware busca seed phrases de carteiras de criptomoedas.
Em 2025, já havíamos reportado sobre este malware: na época, aplicativos infectados no Google Play foram baixados mais de 242.000 vezes. Além disso, foi o primeiro caso conhecido de um stealer que conseguiu entrar na App Store.
Desta vez, os pesquisadores descobriram dois aplicativos infectados na App Store e um no Google Play. O malware ainda se disfarça de aplicativos legítimos, como corporate messengers e serviços de entrega de comida.
Após a instalação, o SparkCat solicita acesso à galeria de fotos do dispositivo e usa OCR (reconhecimento óptico de caracteres) para analisar o texto nas imagens. Se o stealer encontrar seed phrases para restaurar o acesso a carteiras de criptomoedas, ele envia a imagem para seus operadores.
As versões Android e iOS do trojan funcionam de maneiras diferentes. A versão para Android escaneia a galeria em busca de palavras-chave em japonês, coreano e chinês, ou seja, visa principalmente usuários da Ásia. Por sua vez, a versão iOS procura seed phrases em inglês, tornando-a mais perigosa para usuários em todo o mundo.
Além disso, os especialistas relatam que o SparkCat atualizado para Android é significativamente mais complexo do que as versões anteriores. Os desenvolvedores do malware empregaram vários níveis de ofuscação, incluindo virtualização de código e linguagens de programação cross-platform, o que é incomum em malwares móveis.
"SparkCat é uma ameaça móvel em evolução. Seus criadores estão constantemente complicando as técnicas de evasão de análise e, como resultado, o malware ignora a verificação de segurança nas lojas de aplicativos oficiais. Métodos como virtualização de código e linguagens de programação cross-platform raramente são usados em malware móvel, o que indica um alto nível de preparação dos atacantes", comenta Dmitry Kalinin, especialista em segurança cibernética da Kaspersky Lab.
Os especialistas transmitiram informações sobre os aplicativos infectados aos representantes do Google e da Apple. O malware já foi removido do Google Play, mas é enfatizado que o SparkCat continua a se espalhar por meio de plataformas de terceiros (e algumas delas se disfarçam de App Store quando abertas de um iPhone).
Contexto Técnico Adicional:
Seed phrases, também conhecidas como frases de recuperação, são conjuntos de 12 a 24 palavras que permitem a recuperação completa de uma carteira de criptomoedas. Quem possui a seed phrase tem controle total sobre os fundos associados à carteira. Por isso, são alvos extremamente valiosos para cibercriminosos.
O uso de OCR (Optical Character Recognition) permite que o malware extraia texto de imagens, mesmo que as seed phrases não estejam armazenadas como texto simples no dispositivo. Isso aumenta significativamente a eficácia do ataque.
A ofuscação de código e a virtualização são técnicas usadas para dificultar a análise e a engenharia reversa do malware, tornando mais difícil para os pesquisadores de segurança entenderem seu funcionamento e desenvolverem contramedidas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky Lab identificaram uma versão atualizada do trojan SparkCat na App Store e Google Play, mais de um ano após sua primeira detecção e remoção das lojas oficiais. A versão atualizada do malware busca seed phrases de carteiras de criptomoedas.
Em 2025, já havíamos reportado sobre este malware: na época, aplicativos infectados no Google Play foram baixados mais de 242.000 vezes. Além disso, foi o primeiro caso conhecido de um stealer que conseguiu entrar na App Store.
Desta vez, os pesquisadores descobriram dois aplicativos infectados na App Store e um no Google Play. O malware ainda se disfarça de aplicativos legítimos, como corporate messengers e serviços de entrega de comida.
Após a instalação, o SparkCat solicita acesso à galeria de fotos do dispositivo e usa OCR (reconhecimento óptico de caracteres) para analisar o texto nas imagens. Se o stealer encontrar seed phrases para restaurar o acesso a carteiras de criptomoedas, ele envia a imagem para seus operadores.
As versões Android e iOS do trojan funcionam de maneiras diferentes. A versão para Android escaneia a galeria em busca de palavras-chave em japonês, coreano e chinês, ou seja, visa principalmente usuários da Ásia. Por sua vez, a versão iOS procura seed phrases em inglês, tornando-a mais perigosa para usuários em todo o mundo.
Além disso, os especialistas relatam que o SparkCat atualizado para Android é significativamente mais complexo do que as versões anteriores. Os desenvolvedores do malware empregaram vários níveis de ofuscação, incluindo virtualização de código e linguagens de programação cross-platform, o que é incomum em malwares móveis.
"SparkCat é uma ameaça móvel em evolução. Seus criadores estão constantemente complicando as técnicas de evasão de análise e, como resultado, o malware ignora a verificação de segurança nas lojas de aplicativos oficiais. Métodos como virtualização de código e linguagens de programação cross-platform raramente são usados em malware móvel, o que indica um alto nível de preparação dos atacantes", comenta Dmitry Kalinin, especialista em segurança cibernética da Kaspersky Lab.
Os especialistas transmitiram informações sobre os aplicativos infectados aos representantes do Google e da Apple. O malware já foi removido do Google Play, mas é enfatizado que o SparkCat continua a se espalhar por meio de plataformas de terceiros (e algumas delas se disfarçam de App Store quando abertas de um iPhone).
Contexto Técnico Adicional:
Seed phrases, também conhecidas como frases de recuperação, são conjuntos de 12 a 24 palavras que permitem a recuperação completa de uma carteira de criptomoedas. Quem possui a seed phrase tem controle total sobre os fundos associados à carteira. Por isso, são alvos extremamente valiosos para cibercriminosos.
O uso de OCR (Optical Character Recognition) permite que o malware extraia texto de imagens, mesmo que as seed phrases não estejam armazenadas como texto simples no dispositivo. Isso aumenta significativamente a eficácia do ataque.
A ofuscação de código e a virtualização são técnicas usadas para dificultar a análise e a engenharia reversa do malware, tornando mais difícil para os pesquisadores de segurança entenderem seu funcionamento e desenvolverem contramedidas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
