• SparkCat nutzt Google ML Kit für die Textextraktion und überträgt die gestohlenen Daten über verschlüsselte Kommunikationskanäle, was eine Entdeckung erschwert.
  • Zu den einzigartigen Angriffsmethoden von SparkCat gehören ein Objective-C-Framework für iOS und ein Java-basiertes SDK für Android.

Laut einem Bericht des Cybersecurity-Unternehmens Kaspersky vom 4. Februar hat sich eine neue Malware namens SparkCat als Herausforderung für Android- und iOS-Krypto-Nutzer herausgestellt. Die Malware tauchte eingebettet in anderen Anwendungen auf, die scheinbar harmlos sind. Sie holt sie sich mit einem ausgeklügelten Verfahren persönliche Daten eines Nutzers von dessen Mobilgerät.

SparkCat nutzt optische Zeichenerkennung für Diebstähle

SparkCat scannt Bilder, die in der Galerie eines Geräts aufbewahrt werden, nach Phrasen zur Wiederherstellung von Krypto-Wallets. Das Scannen erfolgt per OCR, eine Technologie, die Text von Bildern erfasst. Benutzer, die Screenshots und Notizen zu ihren Wallets gespeichert haben, sind potenzielle Opfer.

Die Malware ist schon seit März 2024 aktiv und infizierte Anwendungen wie KI-Messaging-Apps und Essensbestelldienste im Googles Play Store und Apples App Store. Interessanterweise ist es das erste Mal, dass eine Malware, die auf OCR basiert, Kryptowährungen über Apple-Geräte stiehlt.

Auf Android verbreitet sie sich über ein SDK namens Spark, das auf Java basiert, sich als Analysemodul tarnt und in Apps eingeschleust wird. Wenn der Benutzer die infizierte App startet, ruft die Malware eine verschlüsselte Konfigurationsdatei aus einem GitLab-Repository ab.

Nach der Aktivierung nutzt SparkCat die OCR-Funktion von Googles ML Kit, um Bilder in der Galerie des Geräts zu scannen. Es sucht nach Schlüsselwörtern, die mit Phrasen zur Wiederherstellung von Kryptowährungs-Brieftaschen in mehreren Sprachen zusammenhängen, darunter Englisch und andere europäische Sprachen, sowie Chinesisch, Japanisch, Koreanisch, berichtet Kaspersky .

Die Malware sendet Bilder an einen vom Angreifer kontrollierten Server, um gestohlene Daten zu exfiltrieren. Zu den Übertragungsmethoden gehören die Nutzung von Amazon Cloud Storage sowie ein Rust-basiertes Protokoll. Das macht die Verfolgung sehr schwierig, da verschlüsselte Kommunikationskanäle und ungewöhnliche Datenübertragungstechniken verwendet werden.

iOS-Kompromittierung durch bösartiges Framework

Die iOS-Variante von SparkCat funktioniert anders, da sie sich in kompromittierte Anwendungen als Framework unter verschiedenen Namen wie GZIP, googleappsdk oder stat einbettet. Dieses in Objective-C geschriebene bösartige Framework wird mit HikariLLVM verschleiert und integriert Google ML Kit für die Bildanalyse der Gerätegalerie.

Im Gegensatz zur Android-Version fordert die Malware unter iOS den Zugriff auf die Fotogalerie nur dann an, wenn bestimmte Aktionen von den Nutzern durchgeführt werden, wie z. B. das Öffnen eines Support-Chats innerhalb einer infizierten App. Dies minimiert den Verdacht und ermöglicht es der Malware, walletbezogene Informationen abzurufen.

Dem Bericht von Kaspersky zufolge ist die Malware in der Lage, neben den Wiederherstellungsphrasen auch andere sensible Daten zu stehlen. Dazu gehören gespeicherte Passwörter und der Inhalt von Nachrichten, die in Screenshots festgehalten werden. Sicherheitsexperten schätzen, dass SparkCat bereits mehr als 242.000 Geräte, hauptsächlich in Europa und Asien, infiziert hat.

Der Ursprung der Malware ist jedoch unbekannt. Anhand von Codekommentaren und Fehlermeldungen lässt sich feststellen, dass die Entwickler Chinesisch sprechen. Die Malware-Angriffe auf Krypto-Nutzer nehmen weiter zu, da Cyberkriminelle immer wieder Wege finden, die Sicherheitsmaßnahmen von App-Marktplätzen zu umgehen.