卡巴斯基实验室已识别出一个复杂的恶意软件活动，针对加密货币用户，通过嵌入在Google Play和Apple应用商店的移动应用程序中的恶意软件开发工具包。名为“SparkCat”的恶意软件利用光学字符识别技术扫描用户照片中的加密货币钱包恢复短语，黑客随后利用这些短语访问并耗尽受影响的钱包。

在2025年2月4日的综合报告中，卡巴斯基研究员Sergey Puzan和Dmitry Kalinin详细介绍了 SparkCat恶意软件如何渗透设备并通过多语言关键词检测搜索图像中的恢复短语。一旦获取这些短语，攻击者便获得了受害者加密钱包的不受限制的访问权。研究人员指出，黑客因此完全控制了资金。

此外，该恶意软件还设计用于窃取额外的敏感信息，例如截屏中捕获的密码和私人消息。尤其在Android设备上，SparkCat伪装成一个名为Spark的Java分析模块。恶意软件通过加密的GitLab配置文件接收操作更新，并使用Google的ML Kit OCR工具从受感染设备的图像中提取文本。一旦检测到恢复短语，恶意软件将信息发送回攻击者，允许他们将受害者的加密钱包导入他们的设备。

卡巴斯基估计，自2023年3月出现以来，SparkCat已被下载约242,000次，主要影响欧洲和亚洲的用户。

在2024年中期的另一个相关报告中，卡巴斯基一直在监控涉及欺骗性APK的另一个Android恶意软件活动，例如Tria Stealer，它拦截短信和通话记录，窃取Gmail数据。

这种恶意软件存在于众多应用程序中，一些看似合法，例如外卖服务，另一些则设计为吸引不知情用户，例如AI支持的消息应用程序。这些感染的应用程序常见功能包括使用Rust编程语言、跨平台能力以及复杂的混淆方法以避免检测。

SparkCat的起源尚不清楚。研究人员尚未将此恶意软件归因于任何已知黑客组织，但注意到代码中有中文评论和错误信息，表明开发者可能精通中文。虽然它与ESET在2023年3月发现的一项活动有相似之处，但其确切来源尚未确定。

卡巴斯基强烈建议用户不要在照片库中存储诸如加密钱包恢复短语之类的敏感信息。而是建议使用密码管理器，并定期扫描和删除可疑应用程序。

调查结果最初在99Bitcoins的文章《恶意SDK在Google Play和App Store窃取加密种子短语：卡巴斯基》中报道。