Trojaner SparkCat: Neue Malware in App Stores stiehlt Passwörter aus Screenshots

Veröffentlicht am von

Sicherheitsforscher von Kaspersky haben eine neue Malware identifiziert, die sowohl in Googles Play Store als auch in Apples App Store verbreitet wurde. Der Trojaner mit dem Namen „SparkCat“ nutzt optische Zeichenerkennung (OCR), um Passwörter und Wiederherstellungsphrasen aus Screenshots zu extrahieren. Die Malware war mindestens seit März 2024 aktiv und wurde bereits hunderttausendfach heruntergeladen.

Trojaner SparkCat: Neue Malware stiehlt Passwörter aus ScreenshotsAI generated picture by ©onlinemarktplatz.de
Trojaner SparkCat: Neue Malware stiehlt Passwörter aus Screenshots

Tarnung in scheinbar harmlosen Apps

Laut Kaspersky war SparkCat in verschiedenen Anwendungen versteckt, darunter Messenger-Apps wie WeTink sowie KI-Anwendungen wie ChatAI und AnyGPT. Auch einige Apps aus dem Bereich der Essenslieferdienste waren betroffen. Dies erschwert die Identifikation der Malware, da sie sich hinter vermeintlich legitimen Anwendungen verbirgt.

Funktionsweise des Trojaners

Nach der Installation fordert SparkCat Zugriff auf die Bildergalerie des Geräts an. Sobald der Nutzer die Berechtigung erteilt, durchsucht die Malware gespeicherte Screenshots mithilfe von OCR nach bestimmten Begriffen, die auf sensible Daten wie Passwörter oder Wiederherstellungsphrasen für Krypto-Wallets hinweisen. Erkennt das System entsprechende Begriffe, werden die betroffenen Bilder an die Angreifer übermittelt.

Mehr zum Thema
  • Warzone RAT: Globales Netzwerk für Verkauf von Schadsoftware zerschlagen
  • Cyberkriminelle missbrauchen ChatGPT für die Entwicklung und Verbesserung von Malware
  • WordPress erhöht Sicherheit mit Zwei-Faktor-Authentifizierung und SVN-spezifischen Passwörtern ab Oktober
  • Größte jemals durchgeführte Operation gegen Botnets trifft Dropper Malware Ökosystem

    • Gefährliche Tarnung und unauffällige Berechtigungen

    Ein entscheidendes Merkmal von SparkCat ist seine unauffällige Arbeitsweise. Die von der Malware angeforderten Berechtigungen erscheinen auf den ersten Blick nicht verdächtig, da viele Apps regulär Zugriff auf Bilder benötigen, etwa für den Kundensupport oder das Teilen von Fotos. Dies macht es sowohl für Nutzer als auch für die Moderatoren der App Stores schwierig, den Trojaner zu identifizieren.

    Umfangreiche Verbreitung und Reaktionen der App-Stores

    Die betroffenen Anwendungen wurden allein im Google Play Store mehr als 242.000 Mal heruntergeladen. Apple hat auf den Vorfall reagiert und am 6. Februar 2025 insgesamt 11 infizierte Apps entfernt. Laut Kaspersky enthielten diese Anwendungen Code-Fragmente, die auch in 89 weiteren, zuvor gelöschten oder abgelehnten Apps gefunden wurden. Damit stellt SparkCat eine der ersten bekannten Malware-Kampagnen dar, die es in den offiziellen App Store von Apple geschafft hat.

    Empfehlungen für Nutzer

    Experten raten Nutzern, infizierte Apps umgehend zu entfernen und erst nach einem Sicherheitsupdate erneut zu installieren. Zudem sollte man generell darauf verzichten, Screenshots oder Fotos mit sensiblen Informationen auf dem Smartphone zu speichern. Sicherheitssoftware kann helfen, verdächtige Apps zu erkennen und ungewollten Datenabfluss zu verhindern.

    Die Entdeckung von SparkCat zeigt, dass selbst offizielle App Stores nicht vor Malware gefeit sind. Die Kombination aus unauffälligen Berechtigungen und der Tarnung in vermeintlich harmlosen Apps macht diesen Trojaner besonders gefährlich. Nutzer sollten vorsichtig sein, welche Apps sie installieren, und verdächtige Berechtigungen genau überprüfen.

    Frank
    Letzte Artikel von Frank (Alle anzeigen)