Einsatz von SparkCat-Malware in manipulierten Messenger- und Essensliefer-Apps ermöglicht Angreifern, unbemerkt sensible Nutzerdaten abzugreifen. Auf Android-Geräten wird der Schadcode vorzugsweise in Asien verbreitet und nutzt ein OCR-Modul, um sprachspezifische Screenshots nach Krypto-Wallet-Daten zu analysieren. Die iOS-Variante hingegen sucht global nach englischen Mnemonic-Phrasen. Durch Code-Virtualisierung und plattformübergreifende Programmiersprachen erschwert SparkCat Sicherheitsforschern die Analyse erheblich. Effektive Erkennung erfolgt Signaturen HEUR:Trojan.AndroidOS.SparkCat HEUR:Trojan.IphoneOS.SparkCat. Nutzer sollten kompromittierte Apps löschen, Berechtigungen prüfen, sensible Daten in Passwortmanagern speichern.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
SparkCat-Malware infiziert kompromittierte Messenger- und Essensliefer-Apps in App Stores
Eine neue SparkCat-Version infiltriert legitime Kommunikations- und Essensliefer-Apps in Google Play und im App Store, indem Angreifer kompromittierte Messenger-Anwendungen und Lieferdienste einsetzen. Kaspersky entdeckte zwei infizierte Chat-Apps im App Store sowie eine manipulierte Essensliefer-App bei Google Play. Zusätzlich locken gefälschte Drittanbieter-Websites mit authentisch wirkenden Store-Interfaces iPhone-User auf betrügerische Download-Plattformen. Diese Technik ermöglicht unbemerkten Einschleusen von Schadcode und gezielte Datendiebstähle über mobile Geräte. Kaspersky empfiehlt Nutzern Apps kritisch zu prüfen, regelmäßig.
Android-Malware späht Fotogalerie aus, identifiziert asiatische Krypto-Wallet-Screenshots per OCR
Die Android-Variante durchsucht systematisch die lokale Bildergalerie nach Screenshots, in denen japanische, koreanische oder chinesische Schlüsselbegriffe enthalten sind. Ein integriertes OCR-Modul erkennt Textpassagen in den Bilddateien, sperrt dadurch relevante Fotos heraus und extrahiert die erkannten Informationen. Anschließend überträgt SparkCat diese Bilddaten verschlüsselt an einen zentralen Command-and-Control-Server. Aufgrund dieses Profilings vermuten Sicherheitsforscher von Kaspersky, dass vorrangig Nutzer von Kryptogeld-Wallets in Asien ins Visier genommen werden. Das Vorgehen verdeutlicht Angriffe auf Kryptonutzer.
iOS-Variante weltweit sucht englische Krypto-Mnemonics mittels flexibler plattformübergreifender Programmiersprachen
Die iOS-Variante der SparkCat-Malware durchsucht weltweit Nutzerdaten gezielt nach englischsprachigen Wiederherstellungsphrasen von Krypto-Wallets. Dank plattformübergreifender Programmierframeworks passt sich der Schadcode flexibel an unterschiedliche iPhone-Generationen und Betriebssystemversionen an. Diese modulare und anpassungsfähige Architektur erweitert signifikant das potenzielle Angriffsgebiet und erschwert gleichzeitig die Analyse durch Sicherheitsexperten. Durch verschlüsselte Datenkanäle können gestohlene Mnemonics unbemerkt an Command-and-Control-Server übertragen werden. Die Integration von Obfuscation-Methoden und Schlüsselverwaltung macht eine Untersuchung kompliziert, verzögert die Reaktionszeiten von Incident-Response-Teams.
SparkCat setzt Code-Virtualisierung und plattformübergreifende Sprachen gegen Analyse ein
Die aktuelle Version der SparkCat-Malware verwendet eine Kombination mehrerer Verschleierungstechniken, darunter Code-Virtualisierung, um die Ausführungsebene zu verbergen, sowie plattformübergreifende Programmiersprachen, um auf unterschiedlichen Betriebssystemen gleichermaßen lauffähig zu sein. Durch diese Methodik wird sowohl eine statische Analyse von Quellcode als auch eine dynamische Überwachung zur Laufzeit erheblich erschwert. Diese fortschrittlichen Mechanismen stellen eine ungewöhnlich hohe Entwicklungsqualität dar und heben sie von herkömmlichen mobilen Bedrohungen deutlich ab. Bemühungen bleiben weiterhin sehr schwierig.
Kaspersky meldet kompromittierte Apps, neue Signaturen erkennen SparkCat-Malware zuverlässig
Kaspersky informierte Google und Apple unverzüglich über alle entdeckten infizierten Anwendungen. Beide Betreiber entfernten daraufhin umgehend den bösartigen Code aus ihren Stores. Aktuelle Signaturen wie HEUR:Trojan.AndroidOS.SparkCat und HEUR:Trojan.IphoneOS.SparkCat erkennen die Bedrohung zuverlässig und schützen Nutzer wirkungsvoll. Anwender sollten betroffene Apps sofort deinstallieren, sämtliche App-Berechtigungen sorgfältig überprüfen und wertvolle Informationen wie Wiederherstellungsphrasen für Krypto-Wallets ausschließlich in vertrauenswürdigen Passwortmanagern wie Kaspersky Password Manager ablegen. Eine umfassende Absicherung bietet mobile Sicherheitssoftware wie Premium.
SparkCat nutzt komplexe mehrstufige Verschleierungstechniken, um Code in verschiedene virtuellen Umgebungen zu isolieren und statische Analysen zu erschweren. Durch Einsatz plattformübergreifender Programmiersprachen passt sich die Malware flexibel an unterschiedliche Betriebssysteme an. Ein integriertes OCR-Modul identifiziert gezielt Screenshots mit sensiblen Inhalten. Diese modulare Architektur ermöglicht variable Einsatzszenarien auf regionaler und globaler Ebene. Die Kombination aus schwer analysierbarem Code und adaptiven Angriffstaktiken unterstreicht den technologischen Fortschritt mobiler Schadsoftware für professionelle Cyberkriminelle weltweit.
