Android ani iOS nejsou v bezpečí. Známý virus je zpátky a ukrývá se v nevinně vypadajících aplikacích

Malware SparkCat dokáže přečíst text z fotek ve vaší galerii a odeslat ho útočníkům. Cílí hlavně na seed fráze kryptopeněženek.

Zdroj fotografie: Unsplash

Představte si, že jednou vyfotíte zálohovací frázi ke své kryptopeněžence, uložíte ji do galerie a zapomenete na ni. Přesně na tento zvyk sází SparkCat, infostealer, který se od února 2025 opakovaně dostává do oficiálních obchodů App Store i Google Play. 2. dubna 2026 Kaspersky oznámil novou, sofistikovanější vlnu. Tentokrát s maskováním, které analytici označují u mobilního malwaru za vzácné. A tentokrát s explicitním cílením na anglické mnemotechnické fráze, což znamená, že v dosahu je prakticky každý držitel kryptoměn na světě, Česko nevyjímaje.

Co přesně SparkCat dělá s vaším telefonem

SparkCat není klasický virus, který zpomalí telefon nebo zobrazuje reklamy. Pracuje tiše. Po instalaci infikované aplikace si vyžádá přístup k fotkám, což u messengeru nebo aplikace pro rozvoz jídla nevypadá podezřele. Jakmile ho dostane, spustí OCR engine postavený na Google ML Kit. Ten projde obrázky v galerii, rozpozná v nich text a porovná ho s klíčovými slovy staženými z řídícího serveru.

Hledá především seed fráze, těch 12 až 24 anglických slov, která fungují jako univerzální klíč k obnově kryptopeněženky. Jak připomíná dokumentace Ledgeru, kdo ovládá seed fráze, ovládá všechny prostředky v peněžence. SparkCat je ale dostatečně flexibilní i na jiná citlivá data zachycená na screenshotech, jako jsou hesla, zprávy nebo přihlašovací údaje.

Obrázky odpovídající kritériím malware odešle na infrastrukturu útočníků. Po odinstalaci aplikace v zařízení nepřetrvává a nešíří se po síti. Problém ale není „zavirovaný telefon“, problém je, že vaše seed fráze je v tu chvíli v rukou někoho jiného.

Proč prošel kontrolami Apple i Google

Obě platformy mají pravidla, která by měla podobný malware zastavit. Apple výslovně zakazuje skryté funkce a zneužívání přístupu k fotkám. Google deklaruje automatické skenování přes Play Protect a omezuje široký přístup ke galerii jen na aplikace s jasným důvodem.

SparkCat tato pravidla obchází kombinací technik:

• Škodlivý kód je schovaný uvnitř SDK nebo frameworku, ne v hlavní logice aplikace.
• Oprávnění k fotkám působí legitimně pro deklarovanou funkci (chat, zákaznická podpora).
• Malware navenek nevykazuje žádné příznaky, nespouští se okamžitě a neovlivňuje výkon.
• Nová varianta z dubna 2026 přidává virtualizaci kódu a multiplatformní jazyk, což podle Kaspersky výrazně ztěžuje jak automatickou, tak manuální analýzu při procesu schvalování.

Průnik malwaru do oficiálních obchodů přitom není jednorázový exces. Kaspersky ve svém přehledu mobilních hrozeb za rok 2025 uvádí, že některé rodiny škodlivého kódu se přes oficiální kanály šíří opakovaně.

Kdo je v ohrožení a jak to zjistit

V první veřejně popsané vlně z února 2025 Kaspersky jmenoval konkrétní aplikace: aplikaci pro rozvoz jídla ComeCome, messengery WeTink a AnyGPT, kryptoburzu WebSea a další. Infikované balíčky z Google Play měly dohromady přes 242 tisíc stažení. U dubnové vlny 2026 firma zveřejnila pouze kategorie, dva podnikové messengery v App Store a jednu aplikaci pro rozvoz jídla v Google Play, bez konkrétních názvů.

Důležitý detail: už první vlna nepracovala jen s asijskými jazyky. Z řídícího serveru se stahovaly klíčové výrazy v angličtině, češtině, francouzštině, italštině či polštině, například „Mnemotechnická pomůcka“, „Fráze“ nebo „Mnemotechnika“. Kampaň měla evropský dosah a čeští uživatelé byli minimálně v cílové skupině. Konkrétní českou distribuci nových aplikací z roku 2026 veřejné podklady nepotvrzují, ale riziko je reálné, seed fráze jsou standardně v angličtině bez ohledu na zemi uživatele.

Co udělat teď

Rozhodující není, zda používáte Android nebo iPhone. Rozhodující je, jestli máte v galerii screenshot se seed frází a jestli jste někdy udělili přístup k fotkám aplikaci, u které si nejste jistí.

Pokud ano, postup je jednoznačný:

1. Považujte seed frázi za kompromitovanou. Vytvořte novou peněženku s novou seed frází a převeďte prostředky. Jak zdůrazňuje MetaMask, kdo ovládá Secret Recovery Phrase, ovládá celou peněženku.
2. Smažte screenshoty se seed frázemi z galerie i z cloudových záloh.
3. Zkontrolujte oprávnění aplikací. Na iOS i Androidu můžete v nastavení vidět, které aplikace mají přístup k celé galerii. Odeberte ho všem, které ho zjevně nepotřebují.
4. Na Androidu ověřte, že máte zapnutý Play Protect.
5. Seed frázi uchovávejte offline, na papíře, v kovovém zálohovacím médiu nebo v hardwarové peněžence. Nikdy jako fotku, screenshot ani poznámku v cloudu.

SparkCat po odinstalaci v telefonu nezůstává. Škoda, kterou napáchá, ale není v infikovaném zařízení, je v prázdné peněžence, ze které někdo převedl všechno, co v ní bylo.