Malware "SparkCat" treibt auf App Store und Google Play ihr Unwesen

(Source: catalyststuff / freepik.com)

(Source: catalyststuff / freepik.com)

Das Cybersecurity-Unternehmen Kaspersky hat zwei Apps ausgemacht, die mit einer neuen Version der bereits im Februar 2025 aufgetretenen Malware "SparkCat" kompromittiert worden sind. Die Malware mit dem Trojaner wurde auf dem App-Store und in Google Play in einem Messenger für die Unternehmenskommunikation sowie in einer Lieferdienste-App untergebracht, wie Kaspersky mitteilt. Auch über Websites von Drittanbietern seien die betroffenen Apps verbreitet worden. Manche dieser Sites sollen zudem den App Store nachahmen, wenn man sie von einem iPhone aus aufruft.  

Wie Kaspersky berichtet, sucht die Neuauflage der Android-Version des Trojaners in Bildergalerien betroffener Geräte nach Bildschirmaufnahmen mit Schlüsselwörtern in japanischer, koreanischer und chinesischer Sprache. Man gehe deshalb davon aus, dass sich die aktuelle Kampagne in erster Linie gegen Krypto-Währungsnutzer im asiatischen Raum richte. Vor der iOS-Variante müssen sich jedoch auch europäische Nutzer in Acht nehmen. Diese suche nämlich in Krypto-Wallets weltweit nach englischsprachigen Mnemonics, teilt Kaspersky mit. 

Die aktuelle Android-Variante der Malware verfüge im Vergleich zu älteren Versionen über mehrere zusätzliche Verschleierungsebenen wie Code-Virtualisierung oder plattformübergreifede Programmiersprachen. Diese Techniken seien bei mobiler Malware bislang vergleichsweise selten dokumentiert worden, schreibt Kaspersky. Laut Mitteilung hat das Cybersicherheitsunternehmen die identifizierte Schadsoftware an Google und Apple gemeldet. Der Schadcode sei mittlerweile aus den betroffenen Apps entfernt worden. 

Infizierte Apps fordern Zugriff auf Fotos 

"Die aktualisierte Variante von SparkCat fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie des Nutzers, ähnlich wie bereits die erste Version des Trojaners", sagt Sergey Puzan, Cybersicherheitsmitarbeiter bei Kaspersky. "Anschliessend analysiert sie mithilfe eines OCR-Moduls den Text in den gespeicherten Bildern. Erkennt die Schadsoftware relevante Schlüsselwörter, wird das entsprechende Bild an die Angreifer übermittelt. Aufgrund der starken Ähnlichkeiten gehen wir davon aus, dass hinter beiden Versionen dieselben Entwickler stehen."
 
"SparkCat stellt eine sich kontinuierlich weiterentwickelnde Bedrohung für mobile Geräte dar", fügt Kaspersky-Cybersicherheitsmitarbeiter Dmitry Kalinin hinzu. "Die Angreifer erhöhen die Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen der offiziellen App-Stores zu umgehen. Zudem sind Methoden wie Code-Virtualisierung und der Einsatz plattformübergreifender Programmiersprachen für mobile Malware ungewöhnlich und sprechen für ein hohes technisches Niveau der Angreifer." 

Kaspersky rät, eine infizierte App umgehend zu entfernen und keine Screenshots mit sensiblen Informationen wie insbesondere "Wiederherstellungsphrasen für Krypto-Wallets" zu erstellen oder zu speichern. Zudem solle man App-Berechtigungen stets überprüfen - vor allem, wenn eine App um Erlaubnis bitte, auf die Fotobibliothek zuzugreifen. 

Lesen Sie auch: Die Malware "BlackSanta" attackiert seit über einem Jahr gezielt Personalabteilungen und umgeht dabei geschickt EDR-Lösungen. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.