Eine neue SparkCat-Variante tarnte sich in populären Messenger- und Liefer-Apps von Google Play sowie App Store, um heimlich sensible Informationen zu entwenden. Die Android-Version operiert überwiegend in asiatischen Märkten und nutzt OCR, um Krypto-Wallet-Daten in lokaler Schrift zu erfassen. Die iOS-Edition scannt weltweit nach englischen Mnemonic-Passphrasen. Dank Code-Virtualisierung und plattformübergreifender Sprachen wird die Malwareanalyse massiv erschwert. Kaspersky blockiert die Bedrohung mit Signaturen HEUR:Trojan.AndroidOS.SparkCat beziehungsweise HEUR:Trojan.IphoneOS.SparkCat. Nutzer sollten betroffene Apps umgehend deinstallieren.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
SparkCat tarnt sich in Messenger- und Essensliefer-Apps beider Plattformen
Eine neue SparkCat-Malware-Edition tarnt sich erfolgreich in vertrauenswürdigen Chat-Apps und Lieferservice-Anwendungen, die in Google Play sowie im App Store zum Download bereitstehen. Kaspersky-Sicherheitsteams identifizierten zwei kompromittierte Kommunikations-Apps im App Store und eine manipulierte Lieferdienst-App auf Googles Android-Marktplatz. Zusätzlich locken nachgeahmte Webseiten mit täuschend echten Store-Layouts iPhone-Besitzer in Fallen, wo heimlich Schadcode installiert wird und unbemerkt persönliche Informationen ausgelesen werden. Betroffene Nutzer sollten Apps entfernen, Berechtigungen prüfen und umfassend Security-Tools einsetzen.
Asien-Fokus: Android-SparkCat analysiert Galeriebilder auf asiatische Krypto-Screenshots per OCR
Mit der Android-Edition von SparkCat wird die lokale Galerie nach Screenshots durchsucht, die spezifische japanische, koreanische oder chinesische Wörter enthalten. Ein OCR-Modul identifiziert den Text in den Bildern, filtert relevante Aufnahmen und extrahiert kryptografisch wertvolle Informationen. Diese Datenpakete werden anschließend verschlüsselt an einen externen Server gesendet. Sicherheitsanalysten bei Kaspersky haben herausgefunden, dass dieses Verfahren gezielt Krypto-Wallet-Inhaber in asiatischen Regionen attackiert und damit auf regionale Krypto-Märkte abzielt. Dieses Szenario verdeutlicht Risiken.
Globale iOS-Malware erbeutet englische Wallet-Wiederherstellungspassphrasen dank agilem flexiblen Cross-Plattform-Code
Auf Ebene durchforstet die iOS-Fassung jede Datei- und Datenbankstruktur nach englischen Wiederherstellungsphrasen von Krypto-Wallets. Durch plattformübergreifende SDKs wie Flutter und Cordova läuft der Code auf zahlreichen iPhone-Modellen. Die flexible Architektur erlaubt automatische Updates und gezielten Nachschub neuer Funktionen. Getroffene Geräte übertragen erkannte Phrasen verschlüsselt an Command-and-Control-Infrastrukturen. Dank dieser Strategie kann die Malware nachhaltige Zugriffspunkte etablieren und fortlaufend Wallet-Daten exfiltrieren. Dieses Vorgehen minimiert Auffälligkeiten im Netzwerkverkehr und erschwert defensive Erkennungsmechanismen Sicherheitssuiten.
Malware auf Höchstniveau: SparkCat verschleiert Code mit plattformübergreifenden Sprachen
Durch die Kombination verschiedener Verschleierungsebenen, insbesondere durch Code-Virtualisierung und den Einsatz plattformübergreifender Programmiersprachen, kann SparkCat unerkannt bleiben und maskierte Payloads verteilen. Sowohl statische Code-Inspektionen als auch Laufzeitanalysen verlieren an Aussagekraft, da Kontrollflüsse dynamisch generiert und schwer nachvollziehbar sind. Diese ausgefeilten Techniken gelten im mobilen Sektor als selten und zeigen das hohe fachliche Know-how der Entwickler. Sicherheitsforscher benötigen deshalb angepasste Analysesysteme, um Schwachstellen aufzuspüren und Befehlsabläufe zu deassemblieren sowie versteckte Module.
Empfehlung: Sensible Krypto-Wallet-Phrasen nur verschlüsselt im Passwortmanager sicher speichern
Als Reaktion auf Kasperskys Hinweise entfernten Google und Apple sämtliche infizierten Versionen aus ihren offiziellen Stores. Mit den Signaturen HEUR:Trojan.AndroidOS.SparkCat sowie HEUR:Trojan.IphoneOS.SparkCat wird die Schadsoftware zuverlässig identifiziert und blockiert. Betroffene Nutzer sollten kompromittierte Apps umgehend und schnellstmöglich deinstallieren, sämtliche App-Berechtigungen manuell und gründlich überprüfen und geheim zu haltende Daten wie Wallet-Mnemonics ausschließlich in Passwortmanagern wie Kaspersky Password Manager abspeichern. Eine ganzheitliche Absicherung gewährleistet der Einsatz mobiler Sicherheitslösungen wie Kaspersky Premium.
Mit SparkCat entsteht eine vielseitige Malware-Plattform, die mehrstufige Obfuscation nutzt, um Erkennungssysteme auszutricksen. Plattformübergreifende Entwicklungssprachen gewährleisten nahtlosen Betrieb auf Android- und iOS-Geräten. Ein in die Schadsoftware integriertes OCR-Modul filtert automatisch sensible Bildschirmfotos nach vertraulichen Angaben. Dank modularer Designprinzipien sind Angriffs- und Exfiltrationsmechanismen flexibel kombinierbar und regionalspezifisch einstellbar. Diese ausgeklügelte Architektur und die dynamischen Angriffsmuster setzen neue Maßstäbe mobiler Cyberangriffe. Für professionelle Täter bietet SparkCat leistungsfähige Tools zur Umgehung von Sicherheitsmechanismen weltweit.
