Zrádný virus opět operuje ve zdánlivě bezpečných aplikacích. Útočí na Android i iPhone

Trojan SparkCat, který loni v únoru Apple i Google odstranily ze svých obchodů, se vrátil v nové variantě. Tentokrát cílí i na české uživatele.

Zdroj fotografie: Unsplash

Dne 2. dubna 2026 bezpečnostní firma Kaspersky oznámila, že v App Store i Google Play našla další aplikace se škodlivým kódem, který tiše prochází fotogalerií telefonu a hledá snímky obrazovky s obnovovacími frázemi ke kryptopeněženkám. Nejde o žádnou novinku v principu, stejný malware analytici odhalili už v únoru 2025 a obchody ho tehdy během jednoho dne stáhly. Jenže vývojáři za kampaní se vrátili s lepší funkčností a širším záběrem. A minimálně jedna z nově infikovaných aplikací byla dostupná přímo v českém App Store.

Jak se virus schovává tam, kde ho nehledáte

SparkCat není samostatná škodlivá aplikace, kterou by šlo snadno rozpoznat. Je to vložený framework, kus kódu ukrytý uvnitř jinak funkční a neškodně vypadající aplikace. V kampani z roku 2026 Kaspersky identifikovala tři infikované tituly: SafeX na Androidu, SafeW a 悟空外卖 na iOS. Všechny působily legitimně. SafeX se tvářila jako kurýrní služba se sto tisíci staženími, SafeW jako cloudový kancelářský pomocník.

Klíčový trik spočívá v oprávněních. Když uživatel otevře v aplikaci chat podpory a chce odeslat fotku, žádost o přístup ke galerii vypadá naprosto přirozeně. Jenže v pozadí se spouští OCR modul, tedy optické rozpoznávání textu, který projíždí všechny snímky a hledá sekvence slov odpovídající obnovovacím frázím. Pokud je najde, odešle fotku útočníkům. Celé to běží tiše, bez jakéhokoli vizuálního projevu.

Proč je iOS varianta nebezpečnější než ta androidová

Androidová větev nové kampaně hledá primárně japonské, korejské a čínské výrazy. Její záběr je tedy geograficky omezený. iOS varianta ale skenuje anglické mnemotechnické fráze, a to je zásadní rozdíl.

Důvod je technický: standard BIP-39, podle kterého funguje drtivá většina kryptopeněženek, v praxi používá téměř výhradně anglický slovník. Ať jste v Praze, Tokiu nebo São Paulu, vaše seed fráze je s vysokou pravděpodobností anglická. iOS varianta SparkCat tak míří na globální publikum kryptouživatelů bez ohledu na region.

A co český kontext? Už v původní kampani z roku 2025 Kaspersky mezi klíčovými slovy malwaru našla i české výrazy včetně slova „Mnemotechnika“. Celou operaci tehdy hodnotila jako cílenou minimálně na Evropu a Asii.

Co přesně se změnilo oproti loňsku

Původní SparkCat z února 2025 byl rozsáhlejší co do počtu aplikací, Kaspersky tehdy napočítala 10 infikovaných titulů v Google Play, 11 v App Store a přes 242 tisíc stažení jen na Androidu. Apple dotčené aplikace odstranil 6. 2. 2025, Google o den později.

Nová varianta je menší co do rozsahu, ale sofistikovanější technicky:

• Přidaná virtualizace kódu a lepší funkčnost, techniky, které Kaspersky označuje za vzácné u mobilního malwaru
• Využití multiplatformního jazyka pro ztížení analýzy
• Cílenější jazykové slovníky místo širokého záběru

Kaspersky zároveň uvádí, že za oběma kampaněmi stojí s vysokou pravděpodobností stejní vývojáři. V kódu se opakují čínské komentáře a chybové hlášky serveru, ale přímá atribuce ke konkrétní skupině chybí.

Největší problém není obchod, ale vaše fotogalerie

Apple i Google mají procesy kontroly aplikací. Apple deklaruje kontrolu každé verze, Google provozuje Play Protect s automatickými skeny. Přesto SparkCat prošel, a to dvakrát. Důvod je prostý: oprávnění ke galerii není nic podezřelého, škodlivý modul je skrytý a jeho aktivita nevyvolává žádné varovné signály.

Skutečná zranitelnost je ale jinde. SparkCat funguje jen proto, že lidé ukládají obnovovací fráze jako snímek obrazovky. Je to pohodlné, rychlé a fatálně nebezpečné. Obnovovací fráze je de facto heslo k veškerým prostředkům v peněžence. Uložit ji jako fotku do galerie, ke které má přístup desítka aplikací, je totéž jako nalepit PIN na platební kartu.

Praktická opatření, pokud vás téma zasahuje:

• Zkontrolujte, zda nemáte nainstalovanou SafeX, SafeW nebo 悟空外卖, a pokud ano, okamžitě odinstalujte
• Malware po odinstalaci v zařízení nepřetrvává a nešíří se po síti
• Pokud jste měli v galerii obnovovací frázi a infikovanou aplikaci s přístupem k fotkám, převeďte prostředky do nové peněženky s novou frází
• Neukládejte seed fráze jako snímek obrazovky, nikdy, nikam, do žádné galerie
• U nových aplikací omezte přístup k fotkám jen na vybrané snímky, ne na celou knihovnu

Kdy přestat věřit oficiálnímu obchodu

Řekněme to přímo: „Je to z App Store, tak je to bezpečné“ už není platný argument. Oficiální obchod zůstává lepší volbou než stahování z neznámých zdrojů, ale není neprůstřelný. SparkCat to dokázal dvakrát za čtrnáct měsíců. Rozhodující vrstvou ochrany se stává to, co máte v galerii, a komu k ní dáte přístup.