SparkCat: Trojaner kapert Krypto-Wallets

05.02.2025 von Antonia Frank Lesezeit: 3 Min.

Der Trojaner SparkCat zielt darauf ab, Passwörter und Wiederherstellungsphrasen für Krypto-Wallets zu stehlen.

Ein von Kaspersky neu entdeckter Trojaner namens SparkCat zielt auf Kryptowährungs-Wallets ab. Er verbirgt sich in beliebten Android- und iOS-Apps, die auf Google Play und dem AppStore verfügbar sind. Die Malware nutzt optische Zeichenerkennung (OCR), um sensible Daten wie Passwörter und Wiederherstellungsphrasen für Kryptowährungs-Wallets aus den Bildgalerien von Smartphones zu stehlen. SparkCat ist seit mindestens März 2024 aktiv und verzeichnete bereits über 242.000 Downloads allein im Google Play Store.

Malware-Kampagne: Krypto-Stealer in Google Play- und App Store-Apps gefunden

Gemäß Kaspersky gibt es achtzehn infizierte Android- und zehn iOS-Apps. Achtung ist geboten, denn aktuell sind davon noch immer viele in den jeweiligen App-Stores verfügbar. Eine der von Kaspersky als infiziert gemeldeten Apps ist die Android-App ChatAi. Diese haben User bereits über 50.000 Mal heruntergeladen. Bei Google Play ist sie bereits gelöscht.

Weiterhin infiziert wäre die Essensliefer-App namens „ComeCome“. Diese wurde über 10.000 Mal von Google Play heruntergeladen. Zudem betroffen sind legitime Anwendungen wie WeTink als auch allgemeine KI-basierte Messenger-Apps wie AnyGPT.

SparkCat: Trojaner kapert Kryptowährungs-Wallets - Messaging-Apps im App Store oder bei Google Play sollen Opfer anlocken - Quelle: Kaspersky — SparkCat: Trojaner kapert Kryptowährungs-Wallets – Messaging-Apps im App Store oder bei Google Play sollen Opfer anlocken – Quelle: Kaspersky

Eine Analyse der Schlüsselwortlisten von SparkCat ergab, dass der Trojaner gezielt Opfer in Europa und Asien anvisierte. Besonders alarmierend an SparkCat ist, dass es dem Trojaner gelang, die strengen Sicherheitsmaßnahmen von Apple zu umgehen und in den App Store einzudringen. Hierzu stellten die Sicherheitsforscher fest:

„Dies ist der erste bekannte Fall, in dem im offiziellen App-Store von Apple eine mit OCR-Spyware infizierte App gefunden wurde.“

Das Auftauchen von SparkCat in offiziellen App-Stores wie Google Play und dem App Store gibt demgemäß Anlass zu Bedenken hinsichtlich der Sicherheit dieser Plattformen. Denn trotz strenger Prüfprozesse schlüpfen immer wieder bösartige Apps durch die Maschen und gefährden so die Benutzer.

Funktionsweise von SparkCat

Nach der Installation fordert SparkCat Zugriff auf die Fotogalerie des Nutzers an. Kaspersky berichtete, dass der Trojaner, sobald er ein Gerät infiziert hat, sie mithilfe optischer Zeichenerkennung (OCR) Bilder in verschiedenen Sprachen nach bestimmten Schlüsselwörtern wie die Wiederherstellungsphrasen von Kryptowährungs-Wallets durchsucht. Sobald solche angeforderten Informationen vorliegen, sendet der Krypto-Stealer diese an den Angreifer über den Command-and-Control-Server (C2). Damit erlangt er letztlich die vollständige Kontrolle über die Wallets der Opfer.

Jedoch vermag SparkCat nicht nur, geheime Phrasen zu stehlen, sondern auch andere persönliche Daten aus der Fotogalerie zu extrahieren. Die Sicherheitsforscher von Kaspersky raten infolge davon ab, vertrauliche Informationen wie Passwörter in Screenshots oder mobilen Fotogalerien zu speichern. Empfohlen wird stattdessen die Verwendung von Passwortmanagern.

Der SparkCat-Trojaner verwendet ein Kommunikationsprotokoll, das in Rust implementiert ist. Gemäß Kaspersky wird die Programmiersprache normalerweise nicht für die Entwicklung mobiler Apps verwendet. Möglicherweise könnte die ungewöhnliche Wahl ein Versuch sein, der Erkennung durch Sicherheitsforscher und Antivirensoftware zu entgehen. Kaspersky resümiert:

„Was diesen Trojaner besonders gefährlich macht, ist, dass es keinen Hinweis auf ein in der App verstecktes bösartiges Implantat gibt. Die von ihm angeforderten Berechtigungen können so aussehen, als wären sie für seine Kernfunktionalität erforderlich oder erscheinen auf den ersten Blick harmlos. Die Malware läuft auch ziemlich heimlich.“

Schutzmaßnahmen für Nutzer

Kaspersky rät dazu:

Wenn eine der infizierten Apps auf Ihrem Gerät installiert ist, entfernen Sie sie und vermeiden Sie eine Neuinstallation, bis ein Fix veröffentlicht wird.

Vermeiden Sie es, Screenshots mit vertraulichen Informationen, wie z. B. Wiederherstellungsphrasen für Krypto-Wallets, in der Galerie zu speichern. Sie können Passwörter, vertrauliche Dokumente und andere vertrauliche Informationen in speziellen Apps speichern.

Verwenden Sie auf allen Ihren Geräten ein robustes Sicherheitsprodukt .

Durch die Umsetzung dieser Maßnahmen kann man das Risiko einer Kompromittierung seiner Kryptowährungs-Wallets durch Malware wie SparkCat erheblich reduzieren.

AmosStealer hat macOS-Nutzer im Visier (Symbolbild)

Neue Bedrohung für macOS: AmosStealer will eure Krypto-Wallets

Gefährliche Malware AmosStealer greift Mac-Benutzer an: Passwörter und Krypto-Wallets jetzt vor Diebstahl schützen!

Anonymer Anbieter von Phishing-Dienstleistungen (Symbolbild)

Telegram mutiert zur Vertriebsplattform für Phishing-Dienste

Selbst für blutige Anfänger ist der Start der ersten eigenen Phishing-Kampagne über einen Telegram-Bot inzwischen ein Kinderspiel.

SteelFox-Malware: Trojaner kapert Windows-PCs mithilfe anfälligem Treiber

SteelFox-Malware stiehlt u. a. Bankdaten und missbraucht die Rechnerleistung zum Krypto-Mining. Betroffen sind über 11.000 Nutzer weltweit.

Google Play Store entfernt alle Kaspersky-Apps

Kürzlich hat Google alle Android-Apps von Kaspersky aus dem Google Play Store entfernt. Auch deren Konten hat Google gekündigt.

INTERPOL und AFRIPOL informieren über die Operation Serengeti.

Operation Serengeti: Interpol und Afripol gelingt Schlag gegen Cyberkrime

Operation Serengeti: INTERPOL und AFRIPOL decken Cyber-Betrug in Afrika auf. 19 Länder, 1.000 Verhaftungen und 134.000 kriminelle Netzwerke.

Dieser Hacker verbreitet gerade eine Malware, vor der Du Dich besser schützen solltest (Symbolbild)

Vor Malware schützen: 10 Regeln für ein sicheres Online-Verhalten

Da die Bedrohung durch Malware in letzter Zeit stark zugenommen hat, solltest Du Dich besser davor schützen. Wie das geht, erfährst Du hier.

Eine Hand hält eine Google Play Geschenkkarte

Keine Entschädigung von Google beim Geschenkkartenbetrug

Millionenschaden durch Google Play-Geschenkkartenbetrug: Gericht stärkt Tech-Giganten und lässt Verbraucher im Regen stehen.

Weiße Kopfhörer liegen auf einem Stapel bunter, reflektierender CDs

Apple killt Musi: Beliebte Musik-Streaming-App aus App Store verbannt

Apple killt Musi: Warum die beliebte Musik-Streaming-App aus dem App Store verschwunden ist und welche Folgen das haben könnte.

Godfather: BaFin warnt vor Malware-Angriffen auf Krypto-Apps

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat aktuell eine Warnung vor der Malware „Godfather“ herausgegeben.

Malware-Symbolbild mit einer Person bei der Nutzung eines Smartphones

Operation Triangulation: iOS-Geräte im Visier einer neu entdeckten Malware

Die Malware-Kampagne "Operation Triangulation" richtet sich gegen iOS-Geräte in Russland, Israel und China und nutzt Exploits über iMessage.

3D-Visualisierung künstlicher Intelligenz

Cybersicherheit ist in vielen deutschen Unternehmen ein Fremdwort

Cybersicherheit wird von vielen Unternehmen nicht wirklich ernst genommen. Dabei ist ein Schutz vor Cyber-Angriffen für Firmen unerlässlich.

Auf der Suche nach der Malware-Kampagne "Operation Triangulation". (Symbolbild)

triangle_check utility: So testet man, ob ein iOS-Gerät infiziert ist

Ist auch euer iPhone infiziert? Ob ihr mit Operation Triangulation in Berührung gekommen seid, könnt ihr jetzt einfach selbst herausfinden.

Trojanisierte McAfee Security-App gefährdet Android-Nutzer

Vorsicht vor der Banking-Malware Vultur! Dieser als McAfee Security-App getarnte Trojaner hat es auf eure sensiblen Daten abgesehen.

Minecraft ist das anfälligste Spiel für die Verbreitung von Malware

Egal ob am PC oder am Smartphone: Die meiste Malware verbreitet sich unter Gamern durch Minecraft, wie Kaspersky-Forscher herausfanden.

An alle Besitzer von Krypto-Wallets! CherryBlos will an eure Daten

Die Malware CherryBlos für Android ist heimtückisch und raffiniert. Sie versucht mit allen möglichen Tricks an eure Wallets zu gelangen.

Verbot von Kaspersky-Antivirensoftware wegen Russland-Verbindungen

Die US-Regierung hat die Antivirensoftware von Kaspersky verboten. Werden andere Länder, darunter auch Deutschland, diesem Beispiel folgen?

Passwort-Phishing: Warnung für Gmail-, Facebook- & Amazon-Accounts

Eine neue Kaspersky-Analyse weist auf einen eklatanten Anstieg von Passwort-Phishing bei Google-, Facebook- und Amazon-Accounts hin.

Warnung vor Cyber-Sicherheitsverletzungen (Symbolbild)

Hive RAT-Entwickler bei Razzia festgenommen

Eine Razzia führt zur Aufdeckung des Entwicklerteams der Schadsoftware Hive RAT. Die Gefährlichkeit dieses Fernzugriffstrojaners ist enorm.