Neue SparkCat-Malware nutzt legitime Messenger- und Essensliefer-Anwendungen als Tarnung, um unbemerkt Daten zu exfiltrieren. Auf Android-Endgeräten in Asien kommt ein OCR-Modul zum Einsatz, das Screenshots mit japanischen, koreanischen und chinesischen Kryptowallet-Informationen erkennt. Die iOS-Version agiert weltweit, filtert englische Mnemonics und überträgt sie an Angreifer. Innovative Code-Virtualisierung und Cross-Plattform-Frameworks erschweren Analysen. Kaspersky detektiert Infektionen als HEUR:Trojan.AndroidOS.SparkCat beziehungsweise HEUR:Trojan.IphoneOS.SparkCat. Betroffene Nutzer sollten Apps entfernen, Berechtigungen einschränken und Passwörter zentral verwalten, regelmäßig scannen lassen.
Inhaltsverzeichnis: Das erwartet Sie im Artikel
Kaspersky entdeckt SparkCat-Schadcode in kompromittierten Apps beider App Stores
Der Angriffsvektor der erweiterten SparkCat-Malware nutzt vertrauenswürdige Business-Chat- und Lieferservice-Apps in beiden Ökosystemen Google Play und App Store, um Schadcode unbemerkt zu verbreiten. In Apples App Store identifizierten Sicherheitsexperten von Kaspersky zwei infizierte Messenger-Apps, während bei Google Play eine manipulierte Essensbestell-Anwendung entdeckt wurde. Ferner werden gefälschte Drittanbieter-Web-Portale eingesetzt, die originale Store-Benutzeroberflächen nachahmen, um iPhone-Nutzer zur Installation heimtückischer Software zu verleiten. Diese ausgeklügelte Verbreitungsmethode bietet Cyberkriminellen ein hohes Maß an Tarnung.
SparkCat-OCR durchsucht Android-Galerien gezielt nach fernöstlichen Wallet-Sicherungsbildern weltweit online
Zur Datensammlung scannt die Android-Ausführung alle Fotoarchive nach Bildschirmfotos, die spezifische japanische, koreanische oder chinesische Begriffe enthalten. Das integrierte OCR-Tool wandelt Bildtexte in maschinenlesbare Daten um und selektiert relevante Dateien. Nach der Extraktion verschlüsselt SparkCat die Inhalte und sendet sie an den Angreifer-Server. Kaspersky-Analysten schließen daraus, dass die Malware primär auf asiatische Anwender abzielt, vornehmlich auf Nutzer von Kryptowährungs-Wallets. Dabei berücksichtigt sie regionale Sprachmuster und erhöht dadurch die Trefferquote deutlich.
iOS-Malware spioniert global englische Wallet-Passphrasen mit plattformübergreifender Flexibilität aus
Im Rahmen globaler Angriffsstrategien sammelt die iOS-Iteration der Malware gezielt englische Mnemonic-Passphrasen, um die Kontrolle über Kryptowallets zu übernehmen. Durch den Einsatz plattformübergreifender Laufzeitumgebungen agiert der Schadcode ohne zusätzliche Anpassung auf unterschiedlichen iPhone-Typen und iOS-Versionen. Diese breite Kompatibilität maximiert das Opferpotenzial. Gleichzeitig erschwert vermischter nativer und interpretierten Code die Detektion sowie Analyse. Gestohlene Passphrasen werden verschlüsselt an entfernte Kontrollserver übermittelt. Diese Technik umgeht standardmäßige App-Store-Prüfungen, ermöglicht eine Persistenz in Geräten.
Neue SparkCat-Malware nutzt Virtualisierung und plattformübergreifende Sprachen zur Verschleierung
Mit der aktuellen SparkCat-Iteration setzt die Malware auf mehrstufige Verschleierung, indem Code über Virtualisierungsroutinen abstrahiert wird und plattformunabhängige Programmiersprachen eingesetzt sind. Dadurch wird die Erkennung im Vorfeld durch statische Signaturtypen unterlaufen und eine Live-Analyse während der Ausführung umgangen. Solche High-End-Techniken sind im Mobile-Bereich selten und verdeutlichen die professionellen Fähigkeiten hinter der Entwicklung. Forscher müssen deutlich komplexere Verfahren anwenden, um das Verhalten des Schädlings zu verstehen. Relevante Analyse-Tools mit erweiterten Algorithmen.
Nutzer sollen infizierte Apps löschen und Berechtigungen unmittelbar prüfen
Nach Meldung aller kompromittierten Apps an Google und Apple entfernten beide Anbieter rasch den schädlichen Code aus ihren Plattformen. Die Signaturen HEUR:Trojan.AndroidOS.SparkCat und HEUR:Trojan.IphoneOS.SparkCat erkennen die Malware zuverlässig und verhindern weitere Infektionen. Nutzer sollten infizierte Anwendungen sofort deinstallieren, vorhandene Zugriffsrechte genau kontrollieren und besonders sensible Daten wie Wallet-Wiederherstellungsphrasen ausschließlich in sicheren Passwortmanagern wie Kaspersky Password Manager speichern. Mobile Sicherheitslösungen wie Kaspersky Premium runden den Rundumschutz ab und bieten zusätzliche Funktionen.
Die SparkCat-Plattform integriert hochkomplexe Code-Virtualisierung, um Malware in verschleierten Umgebungen auszuführen und Analyseversuche zu blockieren. Mithilfe plattformunabhängiger Programmiersprachen realisiert sie reibungslose Portierung auf Android und iOS. Ein OCR-basiertes Modul durchsucht automatische Screenshots nach vertraulichen Daten. Dank modularer Struktur sind einzelne Komponenten austauschbar und ermöglichen differenzierte Angriffsprofile. Die Kombination aus fortgeschrittenem Obfuscation-Framework und global skalierbaren Taktiken demonstriert aktuellen Stand mobiler Cyberangriffe. Sie richtet sich an kriminelle Betreiber, die professionelle Angriffe planen.
