SparkCat malware: come capire se è sul tuo telefono

SICUREZZA — 4 Aprile 2026

SparkCat malware 2026 — trovato su App Store e Google Play. Scansiona le foto del tuo telefono cercando seed phrase crypto. Ecco come capire se ce l'hai e cosa fare adesso.

SparkCat malware: guida pratica per capire se è sul tuo smartphone Android o iPhone, cosa fa, come rimuoverlo e come proteggerti subito.

SparkCat non ruba le tue foto. Legge il testo dentro le tue foto. E se hai mai fotografato una seed phrase, una password o un documento importante — lo sa già.

Se hai mai fatto uno screenshot di una password o fotografato una seed phrase… questo riguarda direttamente te.

In breve: SparkCat è un malware scoperto da Kaspersky che si nasconde dentro app apparentemente normali — app di messaggistica aziendale e app di food delivery — e una volta installato accede alla tua galleria fotografica. Non per rubare le foto: per leggere il testo che ci sta dentro usando il riconoscimento ottico dei caratteri (OCR). Il suo obiettivo principale sono le seed phrase dei wallet crypto, ma potrebbe leggere qualsiasi testo in qualsiasi immagine. La nuova variante è stata trovata su App Store (2 app) e Google Play (1 app). Google e Apple le hanno rimosse, ma le app già installate restano sul telefono finché non le togli tu. In questa guida ti spieghiamo esattamente come capire se sei a rischio e cosa fare.

⚠️ Nota: anche se Apple e Google hanno rimosso le app infette dagli store, quelle già installate restano attive sul telefono finché non le elimini manualmente. La rimozione dallo store non disinstalla nulla dai telefoni di chi le ha già scaricate.

SparkCat: cosa fare adesso in 3 passi
1. Controlla se hai installato app di messaggistica aziendale o food delivery di sviluppatori sconosciuti negli ultimi 6-12 mesi — specialmente se provengono da mercati asiatici.
2. Vai nelle impostazioni del tuo telefono e revoca l'accesso alla galleria a qualsiasi app che non ha un motivo ovvio per averlo.
3. Se hai foto con seed phrase, password o documenti sensibili nella galleria — eliminale subito e, se hai un wallet crypto coinvolto, creane uno nuovo e trasferisci i fondi.

Il problema di SparkCat non è che esiste. I malware esistono sempre. Il problema è dove è stato trovato: dentro gli store ufficiali, nascosto in app che sembravano normali. E questo cambia tutto — perché significa che il consiglio "scarica solo dallo store ufficiale" non è più sufficiente da solo.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | 4 aprile 2026

Kaspersky ha pubblicato ieri l'analisi di una nuova variante di SparkCat — un trojan che era già stato documentato nel febbraio 2025, rimosso dagli store, e che ora è tornato in versione più sofisticata e più difficile da rilevare. È stato trovato nascosto in app su App Store e Google Play. Non app oscure scaricate da siti di terze parti — app presenti negli store ufficiali di Apple e Google. Questo lo rende una notizia seria, non una delle solite allarmistiche del settore cybersecurity.

La cosa che rende SparkCat diverso dalla maggior parte dei malware è il metodo. Non intercetta le tue password mentre le digiti. Non installa un keylogger. Non finge di essere la tua banca. Fa una cosa molto più silenziosa e in un certo senso più inquietante: accede alla tua galleria fotografica e la legge — tutta, immagine per immagine — cercando testo che assomigli a seed phrase di wallet crypto o a codici di recupero. Se trova qualcosa, manda quell'immagine ai server dei criminali. Silenziosamente, in background, mentre tu usi il telefono per altro.

⚠️

Perché è più grave del solito:
SparkCat è il primo malware stealer mai documentato sull'App Store di Apple — uno store che Apple ha sempre presentato come il più sicuro per design. La prima versione del 2025 aveva già raggiunto circa 250.000 download su Google Play prima di essere rimossa. La nuova variante del 2026 usa tecniche di offuscamento del codice più avanzate — virtualizzazione e linguaggi multipiattaforma — che la rendono molto più difficile da rilevare dai sistemi di revisione automatica degli store.

📋

⏱️ Tempo di lettura: 6 minuti — In questa guida:
→ Come funziona SparkCat — spiegato senza tecnicismi
→ Come capire se ce l'hai sul telefono
→ Cosa fare adesso — la lista pratica
→ Come proteggerti in futuro da questo tipo di attacchi
→ Se hai un wallet crypto: cosa fare subito

🔗

Leggi anche:
👉 Come capire se il tuo smartphone è stato compromesso nel 2026
👉 Chi ha i tuoi dati personali e come farteli cancellare
👉 Tutte le guide Privacy e Sicurezza su ScelgoIo

01

Come funziona SparkCat — spiegato senza tecnicismi

SparkCat usa una tecnologia che si chiama OCR — riconoscimento ottico dei caratteri. È la stessa tecnologia che usi quando scannerizzi un documento e il PDF diventa modificabile. In questo caso però non la usi tu — la usa il malware, di nascosto, sulla tua galleria fotografica.

Il processo è questo: installi un'app che sembra normale — un'app di messaggistica per il lavoro, o un'app di consegna cibo. In un certo momento l'app ti chiede il permesso di accedere alla galleria fotografica. Questo non sembra strano — molte app lo fanno, per farti inviare foto nei messaggi o per caricare immagini. Tu accetti. Da quel momento, in background, SparkCat comincia a scansionare tutte le immagini che riesce a raggiungere, una per una, cercando testo che corrisponda a pattern specifici: sequenze di parole che assomigliano a seed phrase crypto (12 o 24 parole casuali), codici di recupero, backup code, e in generale qualsiasi stringa di testo che potrebbe essere una chiave d'accesso.

Quando trova qualcosa di interessante, non la modifica, non la cancella, non fa niente di visibile. Manda semplicemente quella foto ai server dei criminali. Silenziosamente. Tu non lo sai.

Perché è così pericoloso per chi ha crypto

Una seed phrase — quella sequenza di 12 o 24 parole che ti viene data quando crei un wallet crypto — è la chiave master del tuo wallet. Chi la conosce ha accesso completo ai tuoi fondi, senza bisogno di password, senza bisogno del tuo telefono. Non esiste un'assistenza clienti da chiamare. Non esiste un blocco da fare. Non esiste un recupero. Se qualcuno ottiene la tua seed phrase e svuota il wallet, quei fondi sono persi per sempre.

Il problema è che molte persone — comprensibilmente — fotografano la seed phrase invece di scriverla a mano su carta. O fanno uno screenshot quando il wallet la mostra per la prima volta. Quella foto nella galleria è esattamente quello che SparkCat cerca.

💡

Non solo crypto — cosa altro può leggere:
SparkCat è configurato principalmente per le seed phrase, ma il modulo OCR può leggere qualsiasi testo in qualsiasi immagine. Questo include: screenshot di password salvate, foto di documenti d'identità, screenshot di coordinate bancarie, foto di codici QR, immagini di contratti o documenti con dati sensibili. Il malware oggi è orientato al crypto — ma la tecnologia potrebbe essere facilmente riconfigurata per cercare qualsiasi altro tipo di dato.

Differenza tra la versione Android e la versione iOS

Le due versioni si comportano in modo leggermente diverso. La versione Android cerca parole chiave in giapponese, coreano e cinese — il che suggerisce che l'obiettivo primario siano gli utenti asiatici. La versione iOS invece cerca le seed phrase direttamente in inglese — il che la rende potenzialmente più pericolosa per gli utenti europei, perché le seed phrase dei wallet crypto sono quasi sempre in inglese indipendentemente dal paese dell'utente.

02

Come capire se ce l'hai sul telefono

Questa è la parte difficile. SparkCat non mostra nessun sintomo visibile — non rallenta il telefono in modo evidente, non mostra pubblicità, non fa niente che attiri l'attenzione. Si comporta esattamente come un'app normale.

Quello che puoi fare è una verifica manuale basata su tre controlli.

Controllo 1 — Le app che hai installato negli ultimi 12 mesi

SparkCat è stato trovato nascosto in app di messaggistica aziendale e app di food delivery. Non sono stati resi pubblici i nomi esatti delle app infette — Kaspersky non li ha divulgati per evitare di avvantaggiare i criminali prima della rimozione completa. Quello che puoi fare è andare nella lista delle app installate sul tuo telefono e chiederti: questa app la riconosco? Sa da dove viene? Ha recensioni reali? Lo sviluppatore è verificabile?

Su Android: Impostazioni → App → vedi la lista completa.
Su iPhone: Impostazioni → scorri in basso per vedere tutte le app, oppure usa la funzione di ricerca nell'App Library.

Se trovi app di messaggistica o food delivery che non ricordi di aver installato consapevolmente, o che hanno pochi download e recensioni sospette, rimuovile.

Controllo 2 — I permessi di accesso alla galleria

Questo è il controllo più utile. SparkCat ha bisogno del permesso di accesso alla galleria per funzionare. Vai nelle impostazioni e controlla quali app hanno questo permesso — e chiedi "ha senso che questa app acceda alle mie foto?"

Su Android: Impostazioni → Privacy → Gestione autorizzazioni → Foto e video. Vedi la lista di tutte le app con accesso. Revoca l'accesso a qualsiasi app che non ha un motivo ovvio per averlo.

Su iPhone: Impostazioni → Privacy e sicurezza → Foto. Vedi quali app hanno accesso e con quale livello (tutte le foto, foto selezionate, solo aggiunta). Imposta su "Nessuno" o "Foto selezionate" per le app che non devono vedere tutta la galleria.

💡

La regola pratica sui permessi galleria:
Ha senso che un'app di messaggistica acceda alle foto? Sì, per inviarle. Ma deve accedere a tutte le foto? No — su iPhone puoi impostare "foto selezionate" e l'app funziona lo stesso per inviare immagini. Su Android puoi revocare il permesso permanente e l'app te lo richiede solo quando ne ha bisogno. Questa impostazione da sola riduce drasticamente il rischio di qualsiasi app OCR-based.

Controllo 3 — Il consumo di dati in background

SparkCat deve mandare le immagini trovate a server remoti. Questo significa consumo di dati. Se un'app usa dati in background in modo inspiegabile — molto più di quello che ti aspetteresti per la sua funzione dichiarata — è un segnale di allerta.

Su Android: Impostazioni → Rete → Utilizzo dati → vedi il consumo per singola app.
Su iPhone: Impostazioni → Cellulare → scorri in basso per vedere il consumo dati per app.

📌 Se vuoi verificare più in profondità se il tuo telefono ha comportamenti anomali, la guida su come capire se il tuo smartphone è stato compromesso → copre tutti i segnali da cercare.

03

Cosa fare adesso — la lista pratica

Indipendentemente dal fatto che tu pensi di avere SparkCat o no, queste sono le azioni che vale la pena fare oggi.

🚨 Fai subito — alta priorità

• Elimina qualsiasi foto con seed phrase dalla galleria — se le hai, eliminale ora. Non aspettare. Se devi conservarle, usale su carta fisica o in un password manager cifrato, mai come immagine nella galleria
• Elimina screenshot di password, codici di recupero, backup code — qualsiasi testo sensibile fotografato o screenshottato è un rischio
• Revoca l'accesso alla galleria per le app che non lo necessitano — fallo adesso, non dopo
• Rimuovi le app di sviluppatori sconosciuti che hai installato negli ultimi 12 mesi — specialmente messaggistica e food delivery

✅ Fai questa settimana — media priorità

• Aggiorna tutte le app all'ultima versione — Google e Apple hanno rimosso le versioni infette, ma solo chi aggiorna riceve la versione pulita
• Controlla le recensioni delle app che usi — recensioni recenti molto negative o segnalazioni di comportamenti strani sono segnali da non ignorare
• Su Android: installa un antivirus di un produttore noto — Kaspersky, Bitdefender, ESET hanno versioni mobile. Non sono una garanzia assoluta ma aumentano la superficie di rilevamento
• Abilita l'autenticazione a due fattori su tutti gli account importanti — non protegge dalle seed phrase, ma protegge da molti altri vettori di attacco

04

Come proteggerti in futuro da questo tipo di attacchi

SparkCat ha dimostrato che scaricare solo dagli store ufficiali non è più sufficiente. Non perché gli store siano inutili come filtro — lo sono ancora, e rimuovono migliaia di app malevole ogni mese. Ma non sono impermeabili, come ha dimostrato questa vicenda. Le difese che contano davvero sono quelle comportamentali.

Non fotografare mai informazioni sensibili

È la regola numero uno e quella più importante. Seed phrase, password, codici di recupero, documenti d'identità, coordinate bancarie — niente di tutto questo dovrebbe esistere come immagine nella tua galleria fotografica. Se hai bisogno di conservare una seed phrase, scrivila a mano su carta e conservala in un posto fisico sicuro. Se vuoi un backup digitale, usa un password manager come Bitwarden, 1Password o KeePass — strumenti cifrati progettati esattamente per questo scopo.

Tratta i permessi delle app come una porta di casa

Non daresti le chiavi di casa a qualcuno senza sapere chi è. Eppure ogni volta che tocchi "consenti" su una richiesta di permesso di un'app, stai facendo esattamente questo. La regola pratica è: concedi il minimo indispensabile. Se un'app di food delivery ti chiede accesso alla fotocamera per scansionare QR code, ha senso. Se ti chiede accesso permanente a tutta la galleria fotografica, no — e puoi dire di no senza che l'app smetta di funzionare per le sue funzioni principali.

Guarda chi sviluppa l'app, non solo l'app

Prima di installare qualcosa di nuovo, passa trenta secondi a guardare chi lo ha sviluppato. Il nome dello sviluppatore nell'App Store o nel Play Store è visibile — cercalo. Ha un sito web reale? Ha altre app? Le recensioni sembrano genuine o sembrano generate? Questo controllo rapido non è infallibile, ma filtra la maggior parte delle app sospette.

Mantieni aggiornato il sistema operativo

Sia Android che iOS rilasciano aggiornamenti di sicurezza regolari che chiudono vulnerabilità note. Un telefono con sistema operativo aggiornato è significativamente più difficile da compromettere rispetto a uno che gira su una versione vecchia. Se il tuo telefono non riceve più aggiornamenti di sicurezza — perché è vecchio o perché il produttore ha smesso di supportarlo — è un rischio reale che vale la pena considerare.

⚠️

La cosa che SparkCat ha cambiato:
Fino ad oggi il consiglio standard era "scarica solo da App Store e Google Play". Questo consiglio resta valido — ma non è più sufficiente da solo. SparkCat ha dimostrato che anche gli store ufficiali possono contenere malware sofisticato per periodi di tempo significativi prima che venga rilevato. La difesa principale si sposta sul comportamento: cosa concedi, cosa conservi nella galleria, a chi dai i permessi.

05

Se hai un wallet crypto: cosa fare subito

Se hai criptovalute e hai mai fotografato o screenshottato la tua seed phrase, questa sezione è urgente.

Controlla il tuo wallet adesso. Accedi e verifica che il saldo sia quello che ti aspetti e che non ci siano transazioni recenti che non riconosci. Se tutto è normale, hai ancora tempo per agire in modo preventivo.

Crea un nuovo wallet. Se hai foto della seed phrase nella galleria e non sei sicuro di cosa ci sia stato accesso, la mossa più sicura è creare un nuovo wallet — con una nuova seed phrase — e trasferire tutti i tuoi fondi dal vecchio al nuovo. La seed phrase del vecchio wallet va considerata compromessa. Non usarlo più dopo aver trasferito tutto.

Questa volta scrivi la seed phrase a mano. Carta e penna. Nessun telefono nelle vicinanze quando appare la seed phrase sul wallet. Nessuna foto, nessuno screenshot, nessun "la salvo solo per oggi". La carta fisica è l'unico backup che non può essere rubato da remoto.

Conserva il backup fisico in modo sicuro. Non nel cassetto del comodino. Non in un posto dove qualcuno potrebbe trovarlo. Una cassaforte, un posto fisico che solo tu conosci, o divisa in parti conservate in luoghi diversi se il valore lo giustifica.

🔒

Se il wallet è già stato svuotato:
Purtroppo le transazioni su blockchain sono irreversibili. Se qualcuno ha già usato la tua seed phrase per accedere al wallet, i fondi trasferiti non si recuperano — non esiste un'assistenza clienti, non esiste un blocco della transazione. L'unica cosa da fare è segnalare l'accesso non autorizzato alle autorità competenti (Polizia Postale in Italia) e documentare tutto per un eventuale uso legale futuro. Non cadere in trappole di "recupero fondi crypto" — sono quasi invariabilmente ulteriori truffe.

✅ Cosa protegge da SparkCat

• Non avere seed phrase o password come immagini nella galleria — elimina il bersaglio principale
• Permessi galleria impostati su "foto selezionate" o "nessuno" — blocca l'accesso OCR massivo
• App aggiornate sempre all'ultima versione — le versioni infette vengono rimosse dagli store
• Password manager cifrato per i dati sensibili — alternativa sicura agli screenshot
• Sistema operativo aggiornato — chiude le vulnerabilità note

❌ Cosa NON protegge da SparkCat

• "Ho scaricato solo dallo store ufficiale" — SparkCat era dentro gli store ufficiali
• "L'app aveva molte recensioni positive" — le recensioni possono essere false o precedenti all'infezione
• "Il mio telefono è un iPhone, sono al sicuro" — la versione iOS esiste ed è stata trovata sull'App Store
• "Non ho crypto, non sono a rischio" — SparkCat può leggere qualsiasi testo nelle foto, non solo seed phrase

🔒

Altre guide sicurezza su ScelgoIo:
Senza marketing, senza prodotti da comprare.

👉 Come capire se il tuo smartphone è stato compromesso →
👉 Chi ha i tuoi dati e come farteli cancellare con il GDPR →
👉 Tutte le guide Privacy e Sicurezza →

Rocco Caiazza Fondatore di ScelgoIo · 4 aprile 2026
Chi è Rocco →

Domande frequenti

SparkCat può colpire anche iPhone?

Sì. La versione iOS di SparkCat è stata trovata su App Store e, secondo Kaspersky, è potenzialmente più pericolosa di quella Android perché cerca seed phrase in inglese — lingua usata da tutti i wallet crypto indipendentemente dalla regione dell'utente. Essere su iPhone non protegge da SparkCat.

Come faccio a sapere se ho un'app infetta da SparkCat?

Kaspersky non ha reso pubblici i nomi delle app infette. Il modo più efficace per proteggersi è: controllare i permessi di accesso alla galleria di tutte le app installate, rimuovere quelle di sviluppatori sconosciuti o non verificabili, e assicurarsi che tutte le app siano aggiornate all'ultima versione disponibile (le versioni infette sono state rimosse dagli store).

SparkCat ruba tutte le mie foto?

No. SparkCat non ruba le foto in quanto tali — usa il riconoscimento ottico dei caratteri per leggere il testo dentro le foto. Manda ai server dei criminali solo le immagini che contengono testo corrispondente alle sue ricerche (seed phrase, codici di recupero). Tuttavia, essendo il malware configurabile, le immagini che invia potrebbero contenere qualsiasi testo sensibile presente nelle tue foto.

Ho già eliminato le foto con la seed phrase. Sono al sicuro?

Se hai eliminato le foto prima che SparkCat le trovasse, sì. Se le hai eliminate dopo che SparkCat aveva già avuto accesso alla galleria, non puoi saperlo con certezza. In questo caso la cosa più sicura è creare un nuovo wallet con una nuova seed phrase e trasferire i fondi, considerando il vecchio wallet compromesso.

Devo installare un antivirus sul telefono?

Su Android può aggiungere un livello di protezione utile — Kaspersky, Bitdefender e ESET hanno versioni mobile affidabili. Su iPhone il sistema iOS è più chiuso e gli antivirus tradizionali hanno meno accesso al sistema, quindi sono meno efficaci. In entrambi i casi, la difesa principale resta comportamentale: permessi limitati, nessuna informazione sensibile nelle foto, app aggiornate.