Die aktuelle SparkCat-Iteration versteckt sich in scheinbar authentischen Messenger- und Essensliefer-Apps auf Android und iOS, um unbemerkt Daten abzugreifen. Die Android-Edition ist gezielt auf Asien ausgerichtet und verwendet OCR-Technologie, um Screenshots in asiatischen Schriftzeichen nach Krypto-Schlüsseln zu durchsuchen. Die iOS-Variante operiert global, extrahiert englische Wallet-Mnemonics und sendet sie heimlich. Mehrstufige Verschleierung mit Code-Virtualisierung und plattformübergreifenden Frameworks schützt den Schadcode vor Analysen. Kaspersky identifiziert als HEUR:Trojan.AndroidOS.SparkCat und HEUR:Trojan.IphoneOS.SparkCat. Nutzer sollten Apps löschen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Angreifer nutzen gefälschte Store-Websites und kompromittierte Apps für SparkCat-Infektion
Legitim wirkende Apps für Unternehmenskommunikation und Essenslieferdienste dienen als Tarnung für eine neue SparkCat-Malware-Variante in Google Play und App Store. Kaspersky-Analysten fanden in Apples App Store zwei infiltrierte Messaging-Programme sowie bei Google Play eine kompromittierte Essensliefer-App. Zusätzlich lenken Angreifer iPhone-Nutzer mittels gefälschter Portalnachbildungen auf Drittanbieter-Sites, die oberflächlich wie offizielle Store-Seiten erscheinen. Auf diese Weise installiert sich Schadsoftware unbemerkt und greift sensible Nutzerdaten ab. Regelmäßige Updates schützen wirksam vor dieser Bedrohung.
Kriminelle Android-Version leitet gezielt Screenshot-Daten via OCR-Modul nach Asien
Die SparkCat-Malware für Android durchsucht heimlich jede Fotoanwendung auf dem Gerät nach Screenshots, in denen japanische, koreanische oder chinesische Schlüsselwörter vorkommen. Ein auf OCR basierender Bildanalyse-Prozess extrahiert den Text und markiert die relevanten Fotos zur Übertragung. Anschließend werden die ausgewählten Bilder mit Verschlüsselung an einen versteckten Command-and-Control-Endpunkt übermittelt. Kaspersky-Experten schließen aus der Zielsprachenauswahl, dass insbesondere asiatische Krypto-Wallet-Benutzer im Fokus dieser Variante stehen. Das zeigt dezidiert präzise Ausrichtung auf asiatische Krypto-Wallet-Nutzer.
Apple-Geräte weltweit bedroht durch plattformübergreifende iOS-Variante, Krypto-Mnemonics gezielt angegriffen
Die iOS-Variante operiert und sucht nach englischsprachigen Sicherungsphrasen von Krypto-Wallets, um sie an Angreifer zu senden. Sie nutzt Frameworks wie Xamarin und React Native für plattformübergreifende Kompatibilität und funktioniert auf allen aktuellen iPhone-Generationen und iOS-Releases. Diese modulare Codebasis erhöht die Angriffsdurchdringung und ermöglicht den Tätern, die Malware auszurollen. Erfasste Phrasen werden verschlüsselt ausgelagert. Durch verschleierte Netzwerkaufrufe und dynamische Bibliothekslade-Routinen entgeht sie klassischen Sicherheitskontrollen und erschwert eine automatische Erkennung auf Geräteebene.
Ungewöhnliche Verschleierung: SparkCat integriert neue Virtualisierung und plattformübergreifende Technologien
Die Implementierung von Code-Virtualisierung innerhalb des SparkCat-Programms verschlüsselt kritische Abläufe und erschwert so das Tracking von Befehlsstrukturen erheblich. In Kombination mit plattformübergreifenden Programmiersprachen wird die Malware universell anpassbar und kann auf verschiedenen mobilen Betriebssystemen ohne nennenswerte Änderungen ausgeführt werden. Diese Vorgehensweise erschwert statische und dynamische Analysen gleichermaßen. Das hohe technische Niveau dieser Methoden signalisiert eine professionell organisierte Cyberkriminalität und stellt eine neue Herausforderung für Sicherheitsanalysten dar. Erkennung bleibt dabei schwieriger.
HEUR:Trojan.AndroidOS.SparkCat und IphoneOS Varianten jetzt mit aktuellen Signaturen erkannt
Aus Sicherheitsgründen reagierten Google und Apple umfassend auf die von Kaspersky gemeldeten infizierten Apps und entfernten den schädlichen Code auch umgehend und effizient aus ihren Stores. Die aktuell verfügbaren Signaturen HEUR:Trojan.AndroidOS.SparkCat und HEUR:Trojan.IphoneOS.SparkCat identifizieren die Malware zuverlässig und schützen Anwender vor unbemerktem Datendiebstahl. Es empfiehlt sich, kompromittierte Apps unverzüglich zu löschen, alle Berechtigungen manuell zu überprüfen und besonders vertrauliche Informationen wie Krypto-Wallet-Phrasen ausschließlich in Passwortmanagern wie Kaspersky Password Manager abzulegen.
SparkCat kombiniert mehrstufige Code-Verschleierung und plattformübergreifende Sprachen, um Schadsoftware auf verschiedenen mobilen Betriebssystemen effizient zu implementieren. Durch den Einsatz eines OCR-Tools scannt sie gespeicherte Screenshots automatisch nach sensiblen Krypto-Phrasen. Die modulare Architektur erlaubt Entwicklern, einzelne Funktionsmodule je nach Zielregion anzupassen und globale Verbreitungsmethoden zu integrieren. Schwer analysierbarer, virtueller Code sowie variable Angriffs- und Exfiltrationspfade positionieren SparkCat an der Spitze moderner mobiler Bedrohungen. Dieses Profi-Toolkit demonstriert aktuellen Fortschritt im Bereich Cyberkriminalität
