SparkCat ist eine hochentwickelte Malware-Plattform, die Entwickler in kompromittierte Messenger- und Liefer-Apps auf Google Play und App Store integrieren. Android-Versionen greifen insbesondere Nutzer in Asien an, extrahieren mit einem sprachspezifischen OCR-Modul Wallet-Screenshots und senden sie heimlich an Server. Die iOS-Fassung sucht global nach englischen Krypto-Mnemonics. Fortschrittliche Verschleierung über Code-Virtualisierung und Cross-Platform-Sprachen erschwert Analysen. Kaspersky entdeckt Infektionen unter HEUR:Trojan.AndroidOS.SparkCat sowie HEUR:Trojan.IphoneOS.SparkCat. Anwender sollten Apps löschen. Berechtigungen regelmäßig überprüfen, außerdem Sicherheitspaket aktiv einsetzen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
SparkCat-Malware verbreitet sich sowohl über kompromittierte Unternehmens- und Essensliefer-Apps
SparkCat-Malware tarnt sich als legitime App für Unternehmensnachrichten oder Essenslieferung in Google Play und App Store, um unbemerkt in Nutzergeräte einzudringen. Bei der Analyse von Kaspersky zeigte sich, dass zwei Chat-Anwendungen im App Store und eine Lieferdienst-App bei Google Play bereits kompromittiert waren. Angreifer betreiben zusätzlich betrügerische Websites, die echte Store-Oberflächen imitieren, um iPhone-User zu täuschen und versehentliche Schadsoftware-Installationen auszulösen. Regelmäßige Kontrolle installierter Apps und Nutzung von Sicherheits-Tools ist essenziell.
Kaspersky warnt: Android-Malware exfiltriert asiatische Krypto-Wallet-Daten unbemerkt per Bilderkennung
Auf Android-Geräten durchforstet SparkCat automatisch sämtliche Fotos nach Bildschirmfotos, die bestimmte japanische, koreanische oder chinesische Begriffe enthalten. Ein leistungsfähiges OCR-Modul löst den in Bildern enthaltenen Text auf, filtert relevante Screenshots heraus und markiert sie zum Upload. Die so gewonnenen Daten werden anschließend verschlüsselt an einen Command-and-Control-Server übertragen. Nach Einschätzung von Kaspersky ist dieses Profiling eindeutig auf asiatische Nutzer von Krypto-Wallets ausgerichtet und somit regional fokussiert. Diese Technik erhöht die Effizienz.
Neue iOS-Malware durchsucht global automatisch Fotos nach englischen Wallet-Wiederherstellungsmnemonics
Die iOS-Implementierung der Schadsoftware durchsucht weltweit Nutzereinheiten nach englischsprachigen Mnemonics für Krypto-Wallet-Wiederherstellungen. Dank cross-kompilierten Codebibliotheken läuft sie auf allen modernen iPhone-Modellen und kann per Remote-Konfiguration schnell erweitert werden. Diese Flexibilität erhöht die Angriffsoberfläche drastisch und ermöglicht dynamisch nachladbare Module. Gestohlene Phrasen werden sicher verschlüsselt und über redundante HTTPS-Kanäle an zentrale C&C-Server weitergeleitet, um eine kontinuierliche Datenabfluss-Engine ohne Unterbrechung zu gewährleisten. Die Struktur erlaubt gezielte Payload-Anpassungen abhängig von Geräte-ID und iOS-Version.
Hohes Entwicklerniveau: SparkCat nutzt plattformübergreifende Sprachen und moderne Code-Virtualisierung
Durch die Integration mehrerer Verschleierungsschichten, etwa Virtualisierung von Funktionsaufrufen und plattformübergreifende Skriptsprachen, wird SparkCat zu einer schwer zu analysierenden Bedrohung. Analytische Tools stoßen an Grenzen, da die Code-Ausführung stark modifiziert abläuft und native Debugging-Interfaces umgangen werden. Dieses Vorgehen ist im Bereich mobiler Schadsoftware bemerkenswert und weist auf eine koordiniert Arbeiter Entwicklergruppe mit tiefgehendem Wissen hin. Abwehrmaßnahmen müssen daher innovative Ansätze und heuristische Untersuchungen kombinieren sowie dynamische Sandbox-Tests mit Prozessisolierung umsetzen.
Kaspersky informierte Google und Apple, betroffene Apps wurden entfernt
Auf Grundlage der Warnmeldung von Kaspersky haben Google und Apple sämtliche kompromittierten Apps umgehend effizient aus ihrem Angebot entfernt. Mittels der Signaturen HEUR:Trojan.AndroidOS.SparkCat beziehungsweise HEUR:Trojan.IphoneOS.SparkCat wird die SparkCat-Malware zuverlässig erkannt und blockiert. Betroffene Nutzer sollten die infizierten Anwendungen unverzüglich löschen, alle App-Berechtigungen sorgfältig und gründlich kontrollieren und geheime Daten wie Krypto-Wiederherstellungspassphrasen ausschließlich in einem gesicherten Passwortmanager wie Kaspersky Password Manager sichern. Einen erweiterten Schutz bietet Kaspersky Premium auf mobilen Endgeräten.
SparkCat setzt moderne Verschleierungstechnologien wie polymorphe Code-Transformationen und Virtualisierung ein, um Reverse Engineering zu verhindern. In plattformübergreifenden Entwicklungssprachen geschriebene Module sorgen für gleichzeitige Kompatibilität mit Android- und iOS-Systemen. Ein integrierter OCR-Prozess scannt Fotosammlungen gezielt nach gespeicherten Passphrasen. Die modulare, skalierbare Architektur ermöglicht schnelle Anpassungen an regionale Prioritäten oder großflächige Angriffe. Dies macht SparkCat zu einer leistungsfähigen Grundlage für professionelle mobile Cyberkriminalität. Entwickler nutzen modulare Plugins zur effektiven, versteckten Steuerung globaler Infektionsketten.
