Nach Erkenntnissen von Kaspersky Labs nutzen bösartige Software-Entwicklungskits, die beim Erstellen von Apps für den Google Play Store und den Apple App Store eingesetzt werden, betrügerische Methoden zur Ausspähung von Nutzerdaten. Durch Malware scannen diese Apps Bilder, um Wiederherstellungsphrasen von Krypto-Wallets zu extrahieren.
Die Kaspersky-Forscher Sergey Puzan und Dmitry Kalinin berichteten am 4. Februar, dass sich die als SparkCat bekannte Malware über infizierte Geräte verbreitet. Dabei kommt ein OCR-Stealer (Optical Character Recognition) zum Einsatz, der anhand von Schlüsselwörtern in mehreren Sprachen gezielt nach relevanten Bildern sucht.
„Die Kriminellen stehlen die Wiederherstellungsphrasen von Krypto-Wallets, was ihnen die vollständige Kontrolle über die Wallets der Opfer ermöglicht und den Diebstahl von Kryptowährungen erleichtert“, erklärten Puzan und Kalinin.
Besonders besorgniserregend ist die Flexibilität dieser Malware. Neben Wiederherstellungsphrasen können auch andere sensible Daten aus der Fotogalerie ausgelesen werden, darunter Passwörter oder Inhalte von Nachrichten, die auf Screenshots gespeichert sind.
Schutzmaßnahmen gegen Kryptodiebstahl durch SparkCat
Um sich zu schützen, empfiehlt Kaspersky Nutzern, keine sensiblen Informationen in Screenshots oder in ihrer Fotogalerie zu speichern. Stattdessen sollte ein Passwort-Manager verwendet werden. Zudem ist es wichtig, verdächtige oder potenziell infizierte Anwendungen sofort vom Gerät zu entfernen.
Puzan und Kalinin erklärten, dass die Malware in Android-Apps eine Java-Komponente namens Spark nutzt. Diese als Analysetool getarnte Software arbeitet mit einer verschlüsselten Konfigurationsdatei, die auf GitLab gehostet wird. Diese Datei liefert der Malware Anweisungen und operationelle Updates.
Ein auf Vertrauen basierendes Netzwerkmodul verwendet Google ML Kit OCR, um Text aus Bildern auf infizierten Geräten zu extrahieren. Dadurch kann die Malware gezielt nach Wiederherstellungsphrasen suchen, die dann von Angreifern genutzt werden, um Krypto-Wallets zu übernehmen – ganz ohne das zugehörige Passwort.
Laut Kaspersky wurde die Malware seit Beginn der Angriffe im März bereits etwa 242.000 Mal heruntergeladen. Die Attacken zielen hauptsächlich auf Android- und iOS-Nutzer in Europa und Asien ab.
Malware in Dutzenden Apps aus dem Google und Apple App Store
Die Malware wurde in Dutzenden von Apps entdeckt – sowohl in legitimen als auch in betrügerischen Anwendungen, die in den Google- und Apple-App-Stores verfügbar sind. Trotz ihrer Unterschiede zeigen diese infizierten Apps auffällige Gemeinsamkeiten. So ist die Malware in der Programmiersprache Rust geschrieben, die selten für mobile Apps verwendet wird. Zudem wurde sie für plattformübergreifende Funktionalität entwickelt und nutzt fortschrittliche Techniken zur Umgehung von Sicherheitsmaßnahmen.
Puzan und Kalinin konnten noch nicht feststellen, ob die infizierten Apps Opfer eines Lieferkettenangriffs wurden oder ob Entwickler die Malware absichtlich in ihre Software integriert haben.
„Einige Apps, beispielsweise Lieferdienste für Essen, wirken vollkommen legitim, während andere offensichtlich darauf ausgelegt sind, Nutzer zu täuschen. So haben wir mehrere identische ‚Messenger-Apps‘ mit KI-Funktionen entdeckt, die von demselben Entwickler stammen“, fügten sie hinzu.
Die Herkunft der Malware bleibt bislang unbekannt, und es wurde noch keine spezifische Gruppe identifiziert, die für die Angriffe verantwortlich ist.