Nieuwe tools zoeken seed phrases in screenshots: zo loopt je wallet gevaar

Wie een screenshot van zijn seed phrase bewaart, maakt zijn crypto-wallet kwetsbaar. Malware en nieuwe OCR-tools kunnen afbeeldingen scannen op de 12 of 24 woorden waarmee een wallet volledig kan worden hersteld.

Dat is geen theoretisch risico meer. Beveiligingsbedrijf Kaspersky waarschuwde al voor SparkCat, malware die fotogalerijen op iOS en Android doorzoekt naar crypto-herstelzinnen.

Een seed phrase is de hoofdsleutel van een crypto-wallet. Wie de woorden in de juiste volgorde heeft, kan de wallet herstellen op een ander apparaat en de crypto verplaatsen.

Daarom zijn screenshots zo gevaarlijk. Veel gebruikers maken uit gemak een foto van hun herstelzin, zetten die in een notitie-app of laten hem automatisch synchroniseren met iCloud of Google Foto’s. Cybercriminelen spelen precies daarop in.

OCR staat voor optical character recognition. Dat is software die tekst in afbeeldingen kan herkennen. Voor criminelen is het aantrekkelijk, omdat zij niet handmatig door duizenden foto’s hoeven te zoeken. De software kan automatisch afbeeldingen vinden waarin woorden of patronen voorkomen die lijken op een recovery phrase.

Een recent signaal op X verwijst naar een tool op cybercrimefora die claimt seed phrases uit screenshots te kunnen detecteren en extraheren. Dat signaal is niet hetzelfde als een onafhankelijke technische analyse, maar past wel in een bredere trend die al door beveiligingsonderzoekers is bevestigd.

Het gevaar werd begin 2025 concreet met SparkCat. Kaspersky noemde dit de eerste bekende OCR-stealer die de Apple App Store wist te infiltreren. De malware zat in apps voor iOS en Android en scande fotogalerijen op gevoelige data, waaronder seed phrases voor crypto-wallets.

In april 2026 meldde Kaspersky opnieuw een SparkCat-variant in de App Store en Google Play. Volgens het beveiligingsbedrijf zat de Trojan verstopt in legitiem ogende apps en doorzocht hij foto’s op recovery phrases.

The Hacker News schreef dat de nieuwe variant in drie appstore-apps opdook en afbeeldingen via OCR scande op crypto-wallet recovery phrases.

TechRadar meldde op basis van Kaspersky dat SparkCat zich voordeed als onder meer enterprise messengers en bezorgapps. De malware zou bovendien niet langer alleen Aziatische talen targeten, maar ook Engelstalige seed phrases.

De les is duidelijk: officiële appstores verkleinen risico’s, maar sluiten malware niet volledig uit.

De aanval begint vaak onschuldig. Een gebruiker installeert een app die betrouwbaar lijkt, bijvoorbeeld een chatapp, bezorgapp, AI-tool of zakelijke messenger.

Daarna vraagt de app toegang tot foto’s of bestanden. Veel gebruikers klikken door, omdat appmachtigingen normaal zijn gaan voelen.

Als de app kwaadaardige code bevat, kan die afbeeldingen doorzoeken op tekst. Wordt een seed phrase gevonden, dan kan die informatie naar aanvallers worden gestuurd.

Vanaf dat moment is de wallet in gevaar. De aanvaller hoeft niet je telefoon te blijven gebruiken. Met de seed phrase kan hij de wallet herstellen op een eigen apparaat en de crypto wegsturen.

Dat maakt een digitale foto van een herstelzin extreem gevoelig. Het is alsof je bankpas, pincode en volledige accounttoegang in één screenshot bewaart.

Het probleem stopt niet bij je telefoon. Een screenshot wordt vaak automatisch gesynchroniseerd met iCloud, Google Foto’s of andere cloudopslag. Daarmee ontstaat een tweede aanvalsoppervlak.

Als je cloudaccount wordt overgenomen, als een apparaat met toegang besmet raakt of als een app toegang krijgt tot je foto’s, kan dezelfde seed phrase alsnog uitlekken.

Ook oude screenshots zijn riskant. Veel mensen vergeten dat een herstelzin nog ergens in hun fotogalerij, prullenbak, chatgeschiedenis of cloudarchief staat.

Voor crypto maakt dat weinig uit. Een seed phrase blijft geldig zolang de wallet niet is gemigreerd naar een nieuwe herstelzin.

De belangrijkste regel is simpel: bewaar je seed phrase nooit digitaal. Geen screenshot. Geen scan. Geen foto. Geen notitie-app. Geen e-mail aan jezelf. Geen cloudbestand. Geen WhatsApp-bericht naar je partner.

Schrijf de woorden offline op papier of gebruik een metalen back-up die beter bestand is tegen brand en waterschade. Bewaar die back-up op een veilige plek, los van je telefoon en computer.

Wie vermoedt dat zijn seed phrase ooit digitaal is opgeslagen of mogelijk is gelekt, moet niet alleen het screenshot verwijderen. Verwijderen uit je galerij is niet altijd genoeg, omdat kopieën in de cloud, back-ups of prullenbakken kunnen blijven bestaan.

In dat geval is de veiligste route meestal: maak een nieuwe wallet aan met een nieuwe seed phrase en verplaats de crypto naar die nieuwe wallet. Doe dat vanaf een schoon en vertrouwd apparaat.

Gebruikers moeten ook kritisch kijken naar appmachtigingen. Een zaklampapp, bezorgapp, simpele chatapp of fotobewerker heeft zelden toegang tot je volledige fotogalerij nodig.

Op iPhone en Android kun je controleren welke apps toegang hebben tot foto’s. Trek die rechten in waar ze niet nodig zijn, of beperk toegang tot geselecteerde afbeeldingen.

Installeer ook niet zomaar apps buiten officiële appstores. Maar vertrouw officiële appstores evenmin blind. SparkCat laat zien dat malware soms toch door controles heen komt.

Let extra op apps die onverwacht toegang vragen tot foto’s, bestanden, schermopnames of toegankelijkheidsfuncties.

Een tweede belangrijk risico is social engineering. Oplichters doen zich vaak voor als helpdesk, walletprovider, exchange of recoverydienst.

Geen enkele betrouwbare walletmaker, exchange of supportmedewerker heeft je seed phrase nodig. Wie om je 12 of 24 woorden vraagt, probeert je wallet over te nemen.

Ook “recovery services” zijn riskant. Sommige oplichters zoeken slachtoffers die al geld kwijt zijn en beloven hun crypto terug te halen. Daarna vragen ze opnieuw om walletgegevens, screenshots of herstelzinnen. Dat is meestal een tweede scam bovenop de eerste.

Een seed phrase hoort nooit in je digitale fotomap. Niet tijdelijk. Niet “alleen voor de zekerheid”. Niet in een verborgen album. Niet in de cloud. Niet als scan in je documentenmap.

Voor criminelen met OCR-tools is dat precies waar ze zoeken. Crypto-wallets zijn niet per definitie onveilig. Maar een herstelzin als screenshot bewaren maakt de sterkste wallet alsnog kwetsbaar.

De veiligste seed phrase is niet handig terug te vinden op je telefoon. De veiligste seed phrase is offline, fysiek en onzichtbaar voor apps.