In einer aktuellen Warnung von Sicherheitsforschern wurden Diebstahl-Apps identifiziert, die gezielt auf Nutzer von Android- und iPhone-Geräten abzielen. Malware, bekannt als SparkCat, wurde in mehreren Apps entdeckt, die über die Plattformen Google Play und den App Store verkauft werden. Dies markiert den ersten bekannten Vorfall, bei dem solch eine Malware im Apple App Store entdeckt wurde, wie Lomazoma berichtet.
Die Malware hat die Fähigkeit, sensible Informationen durch den Zugriff auf die Fotobibliothek der Nutzer abzuleiten. Die betroffenen Apps bitten mit verschiedenen Vorwänden um diesen Zugriff. Nach der Erlaubnis scannt die App die Bilder und Screenshots nach Schlüsselbegriffen. Dabei kommt Google’s ML-Kit zur Analyse zum Einsatz. Die extrahierten Informationen werden anschließend an die Server der Angreifer gesendet, die insbesondere auf Rücksetz- oder Wiederherstellungsphrasen von Krypto-Geldbörsen abzielen. Darüber hinaus kann die Malware auch andere sensible Daten wie Passwörter und Nachrichten erfassen. Hauptsächlich richtet sich diese Bedrohung gegen Nutzer in Europa und Asien, wobei die Android-Versionen der Malware etwa 250.000 Mal heruntergeladen worden sein sollen. Über die Downloadzahlen der iOS-Versionen ist hingegen wenig bekannt. Einige infizierte Apps könnten die Malware unwissentlich verbreiten, möglicherweise als Bestandteil eines Software Development Kits (SDK) in legitimen Anwendungen.
Technologie und Sicherheitsrisiken
In Verbindung mit diesen Malware-Apps berichtete Kaspersky, dass auch in Apple und Google’s App Stores schädlicher Screenshot-Lese-Code enthalten ist. Dies stellt den ersten bekannten Fall dar, in dem Apps mittels OCR-Technologie (Optical Character Recognition) Text aus Bildern extrahieren. Die Malware-Kampagne, die unter dem Namen SparkCat bekannt ist, wurde Ende 2024 entdeckt. Die technischen Rahmenbedingungen zur Erstellung der Malware scheinen bereits im März 2024 etabliert worden zu sein. Die Apps fordern den Zugriff auf die Fotogalerie der Nutzer, insbesondere wenn sie den Chat-Support innerhalb der infizierten Anwendungen verwenden. Nach Erteilung des Zugriffs verwendet die Malware Google OCR-Technologie, um Text in den Fotos zu entschlüsseln.
Die Zielobjekte der Malware sind häufig Screenshots von Krypto-Wallet-Passwörtern oder Wiederherstellungsphrasen. Die gefundenen Bilder werden dann an die Angreifer gesendet, die daraufhin die Wallets der Nutzer angreifen und Krypto-Assets stehlen können. Ob die Infektion auf einen Supply-Chain-Angriff oder auf bewusste Handlungen der Entwickler zurückzuführen ist, kann Kaspersky derzeit nicht bestätigen. Besondere Aufmerksamkeit verdienen auch zwei AI-Chat-Apps, WeTink und AnyGPT, die anscheinend im Rahmen dieser Kampagne erstellt wurden und weiterhin im App Store verfügbar sind. Zudem wurde bösartiger Code auch in der legitimen Essensliefer-App ComeCome gefunden, die ebenfalls heruntergeladen werden kann. Auf Anfragen von The Verge haben Apple und Google bisher nicht reagiert.
