Crypto-stehlende Malware in Mobile-App-Store-SDKs gefunden, warnt Kaspersky

Kaspersky Labs hat eine ausgeklügelte Malware-Kampagne identifiziert, die Kryptowährungsnutzer durch bösartige Software-Entwicklungskits ins Visier nimmt, die in mobilen Apps auf Google Play und im Apple App Store eingebettet sind. Die Malware namens "SparkCat" verwendet optische Zeichenerkennung, um Fotos von Nutzern nach Wiederherstellungsphrasen für Kryptowallets zu scannen, die Hacker dann verwenden, um auf betroffene Wallets zuzugreifen und diese zu leeren.

In einem umfassenden Bericht vom 4. Februar 2025 detaillierten die Kaspersky-Forscher Sergey Puzan und Dmitry Kalinin detailliert , wie die SparkCat-Malware in Geräte eindringt und Bilder nach Wiederherstellungsphrasen durch mehrsprachige Schlüsselworterkennung durchsucht. Sobald diese Phrasen erlangt sind, erhalten Angreifer uneingeschränkten Zugriff auf die Krypto-Wallets der Opfer. Die Hacker erlangen somit die volle Kontrolle über die Gelder, wie die Forscher hervorheben.

Darüber hinaus ist die Malware darauf ausgelegt, zusätzliche sensible Informationen zu stehlen, wie Passwörter und private Nachrichten, die in Screenshots erfasst sind. Insbesondere auf Android-Geräten tarnt sich SparkCat als Java-basiertes Analytik-Modul namens Spark. Die Malware erhält Betriebsaktualisierungen aus einer verschlüsselten Konfigurationsdatei auf GitLab und verwendet das OCR-Tool von Google's ML Kit, um Text aus Bildern auf infizierten Geräten zu extrahieren. Die Erkennung einer Wiederherstellungsphrase führt dazu, dass die Malware die Informationen an die Angreifer zurücksendet und diesen erlaubt, das Krypto-Wallet des Opfers auf ihren Geräten zu importieren.

Kaspersky schätzt, dass seit dem Auftauchen im März 2023 SparkCat etwa 242.000 Mal heruntergeladen wurde, wobei die Benutzer hauptsächlich in Europa und Asien betroffen sind.

In einem separaten, aber verwandten Bericht aus Mitte 2024 überwacht Kaspersky eine weitere Android-Malware-Kampagne, die betrügerische APKs wie Tria Stealer involviert, die SMS-Nachrichten und Anrufprotokolle abfangen und Gmail-Daten stehlen.

Die Präsenz dieser Malware erstreckt sich über zahlreiche Apps, einige scheinbar legitim wie Essenslieferdienste und andere darauf ausgelegt, ahnungslose Nutzer anzuziehen, wie KI-gestützte Messaging-Apps. Gemeinsame Merkmale dieser infizierten Apps umfassen die Verwendung der Programmiersprache Rust, plattformübergreifende Fähigkeiten und ausgeklügelte Verschleierungsmethoden, um der Erkennung zu entgehen.

Der Ursprung von SparkCat bleibt unklar. Die Forscher haben die Malware keiner bekannten Hackergruppen zugeschrieben, haben aber chinesischsprachige Kommentare und Fehlermeldungen im Code festgestellt, was auf eine Chinesisch-Fluenz der Entwickler hindeutet. Obwohl sie Ähnlichkeiten mit einer Kampagne aufweist, die im März 2023 von ESET aufgedeckt wurde, bleibt die genaue Quelle unidentifiziert.

Kaspersky rät dringend davon ab, sensible Informationen wie Wiederherstellungsphrasen für Krypto-Wallets in ihren Fotogalerien zu speichern. Sie empfehlen stattdessen die Verwendung von Passwort-Managern und regelmäßige Scans nach verdächtigen Anwendungen und deren Löschung.

Die Erkenntnisse wurden ursprünglich auf 99Bitcoins in dem Artikel mit dem Titel "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky" berichtet.