Ein neuer Trojaner mit dem Namen SparkCat stellt eine ernste Gefahr für Kryptowährungs-Wallets dar. Von Kaspersky entdeckt · versteckt sich die Malware in beliebten Apps für Android und iOS · die sowie im Google Play Store als ebenfalls im App Store verfügbar sind.
Funktionsweise der Malware
Die Funktionsweise von SparkCat ist besorgniserregend. Die Malware nutzt optische Zeichenerkennung (OCR) um sensible Daten – dazu gehören Passwörter und auch Wiederherstellungsphrasen – aus den Bildgalerien von Smartphones abzugreifen. Laut Berichten ist der Trojaner seit mindestens März 2024 aktiv. Über 242․000 Downloads hat er alleine im Google Play Store bereits verzeichnet.
Infizierte Anwendungen
Eine Analyse der Situation zeigt, dass insgesamt achtzehn Android- und zehn iOS-Apps infiziert sind. Achtung ist geboten, da viele dieser Apps weiterhin in den App-Stores zu finden sind. Zu den infizierten Anwendungen gehört unter anderem die Android-App ChatAi die weiterhin als 50․000 Mal heruntergeladen wurde. Diese ist nun allerdings aus dem Google Play Store entfernt worden. Des Weiteren bleibt auch die Essensliefer-App „ComeCome“ betroffen die betreffend 10․000 Downloads verzeichnete.
Gezielte Attacken und Verbreitung
Kaspersky berichtet. Dass Trojaner gezielt Nutzer aus Europa und Asien anvisiert. Besonders alarmierend ist die Tatsache, dass SparkCat es geschafft hat die hohen Sicherheitsstandards von Apple zu umgehen. Die Forscher stellen fest, dass dies der erste bekannte Fall ist, bei dem eine App die mit OCR-Spyware infiziert ist, im offiziellen App Store von Apple gefunden wurde.
Somit wirft das Auftauchen von SparkCat in offiziellen App-Stores Fragen zur Sicherheit dieser Plattformen auf. Trotz strenger Prüfprozesse lässt sich regelmäßig bösartige Software einschleusen.
Die angewandten Techniken von SparkCat
Nach der Installation fordert SparkCat Zugriff auf die Fotogalerie des Nutzers an. Hat der Trojaner Erfolg bei der Infektion eines Gerätes beginnt er damit die Galerie nach Schlüsselwörtern zu durchsuchen. Diese Schlüsselwörter umfassen insbesondere Wiederherstellungsphrasen von Kryptowährungs-Wallets und werden über einen Command-and-Control-Server an den Angreifer gesendet. So wird letztlich die Kontrolle über die Wallets der Opfer erlangt.
Zusätzlich zu den gestohlenen Phrasen fügt SparkCat persönliche Daten in seine Sammlung ein die aus der Fotogalerie extrahiert werden. Kaspersky hat dringende Hinweise ausgesprochen: Nutzer sollten aufhören, vertrauliche Informationen wie Passwörter in Screenshots oder mobilen Fotogalerien zu speichern. Mehr Sicherheit bieten Passwortmanager.
Technische Besonderheiten
Interessanterweise verwendet der Trojaner ein Kommunikationsprotokoll, das in Rust implementiert ist. Normalerweise wird diese Programmiersprache nicht für mobile Apps genutzt. Möglicherweise soll diese ungewöhnliche Wahl die Erkennung durch Sicherheitsforscher und Antivirensoftware erschweren. Kaspersky kommentiert: „Dieser Trojaner ist besonders gefährlich, da es keinerlei Hinweise auf versteckte bösartige Implantate in der App gibt. Die angeforderten Berechtigungen erscheinen auf den ersten Blick harmlos.“
Schutzmaßnahmen für Benutzer
Die Experten von Kaspersky empfehlen, alle infizierten Apps sofort zu deinstallieren und von einer Neuinstallation abzusehen, bis eine Lösung vorliegt. Screenshots mit sensiblen Informationen wie Kryptowährungs-Wiederherstellungsphrasen sollten vermieden werden. Nutzer sollten zudem sicherstellen – dass sie starke Sicherheitslösungen auf ihren Geräten verwenden.
Durch die Umsetzung dieser Schutzmaßnahmen kann das Risiko, dass Kryptowährungs-Wallets durch Malware wie SparkCat kompromittiert werden, signifikant gesenkt werden.
Kommentare