Thought Leadership
Eine neue Version der SparkCat-Malware verbreitet sich über beliebte Apps in Google Play und im App Store. Sie kann heimlich Fotos auswerten und sensible Daten wie Krypto-Wallet-Zugangsdaten abgreifen. Experten warnen vor gezielten Angriffen auf Nutzer in Asien und weltweit.
Malware tarnt sich in bekannten Apps
Die aktuelle SparkCat-Variante nutzt legitime, aber kompromittierte Anwendungen, darunter Messenger für die Unternehmenskommunikation sowie eine Essensliefer-App. Kaspersky entdeckte zwei infizierte Apps im App Store und eine im Google Play Store. Zudem wurden die Apps über Drittanbieter-Webseiten verteilt, von denen einige den App Store imitieren, wenn sie von einem iPhone aufgerufen werden.
Regionale Unterschiede bei Angriffszielen
Die Android-Version durchsucht Bildergalerien gezielt nach Screenshots mit Schlüsselwörtern in japanischer, koreanischer und chinesischer Sprache. „Die aktualisierte Variante von SparkCat fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie des Nutzers, ähnlich wie bereits die erste Version des Trojaners“, erklärt Sergey Puzan, Cybersicherheitsexperte bei Kaspersky. „Anschließend analysiert sie mithilfe eines OCR-Moduls den Text in den gespeicherten Bildern. Erkennt die Schadsoftware relevante Schlüsselwörter, wird das entsprechende Bild an die Angreifer übermittelt. Aufgrund der starken Ähnlichkeiten gehen wir davon aus, dass hinter beiden Versionen dieselben Entwickler stehen. Diese Kampagne verdeutlicht einmal mehr, wie wichtig Sicherheitslösungen für Smartphones sind, um sich vor vielfältigen Cyberbedrohungen zu schützen.“
Die iOS-Variante hingegen sucht nach englischsprachigen Mnemonics von Krypto-Wallets. Dadurch können Nutzer weltweit betroffen sein, unabhängig von ihrer Region.
Technische Weiterentwicklungen erschweren Erkennung
Die neue Android-Version von SparkCat verfügt über zusätzliche Verschleierungsebenen, etwa Code-Virtualisierung und plattformübergreifende Programmiersprachen. „SparkCat stellt eine sich kontinuierlich weiterentwickelnde Bedrohung für mobile Geräte dar“, ergänzt Dmitry Kalinin, Cybersicherheitsexperte bei Kaspersky. „Die Angreifer erhöhen die Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen der offiziellen App-Stores zu umgehen. Zudem sind Methoden wie Code-Virtualisierung und der Einsatz plattformübergreifender Programmiersprachen für mobile Malware ungewöhnlich und sprechen für ein hohes technisches Niveau der Angreifer.“
Kaspersky meldete die Schad-Apps an Google und Apple. Der schädliche Code wurde inzwischen aus allen betroffenen Apps entfernt.
So schützen Sie sich vor SparkCat
- Infizierte Apps sofort vom Gerät löschen und nicht weiter verwenden
- Keine Screenshots mit sensiblen Daten erstellen oder speichern, insbesondere Wiederherstellungsphrasen für Krypto-Wallets
- App-Berechtigungen prüfen und nur notwendige Zugriffe erlauben
- Passwörter und Wiederherstellungsphrasen in sicheren Passwort-Managern wie Kaspersky Password Manager speichern
- Alle Geräte mit mobiler Sicherheitssoftware wie Kaspersky Premium absichern
Weitere Informationen:
Mehr Details zur SparkCat-Malware finden Sie im Kaspersky-Blogartikel „Take my money: OCR crypto stealers in Google Play and App Store“
(vp/Kaspersky)
