Eine ernste Sicherheitswarnung wurde für iPhone- und Android-Nutzer herausgegeben, da Cybersicherheitsforscher bösartige Apps im Google Play Store und im Apple App Store entdeckt haben, die dazu in der Lage sind, Anmeldeinformationen von Kryptowallets zu stehlen. Laut Kaspersky handelt es sich um den ersten bekannten Fall eines Trojaners, der OCR (Optische Zeichenerkennung)-Technologie nutzt, um iOS-Apps aus dem offiziellen App Store auszuspionieren.
Wie funktioniert die Malware?
Dieser Angriff ist eine Weiterentwicklung früherer Bedrohungen, bei denen Malware die Zwischenablage ausspähte, um Anmeldeinformationen für Kryptowallets zu erfassen. Die neue Methode, genannt SparkCat, ist deutlich fortschrittlicher: Sie scannt die Bildgalerie eines Nutzers mit OCR-Technologie, um Text aus Screenshots zu extrahieren – insbesondere aus Bildern, die Wiederherstellungsphrasen für Kryptowallets enthalten. Dadurch können Hacker vollständige Kontrolle über Wallets erlangen, ohne dass das Opfer etwas kopieren oder einfügen muss.
SparkCat verwendet ein Rust-basiertes Protokoll, das für mobile Malware ungewöhnlich ist, um mit seinem Command-and-Control (C2)-Server zu kommunizieren. Kaspersky berichtet, dass die Malware bereits seit März 2024 aktiv ist, obwohl sie erst kürzlich entdeckt wurde.
Infizierte Apps auf Android und iOS
Die Malware-Kampagne betrifft Apps auf beiden mobilen Plattformen und wurde bereits über 242.000 Mal auf Android heruntergeladen. Kaspersky hat bestätigt, dass bösartige Versionen derselben App sowohl im Google Play Store als auch im App Store gefunden wurden. Eine der ersten entdeckten infizierten Apps war „ComeCome“, eine Essensliefer-App für die Vereinigten Arabischen Emirate und Indonesien.
Besonders besorgniserregend ist, dass Apples App Store – lange als das sicherste mobile Ökosystem angesehen – kompromittiert wurde. Bislang wurde keine bekannte OCR-basierte Spyware in offiziellen iOS-Apps gefunden, was diese Entdeckung zu einem bedeutenden Sicherheitsproblem für Apple macht.
>>>3/V450HR for Varta 3/V450HR
Liste der infizierten Apps
Infizierte Android-Apps (Google Play Store)
- com.crownplay.vanity.address
- com.atvnewsonline.app
- com.bintiger.mall.android
- com.websea.exchange
- org.safew.messenger
- org.safew.messenger.store
- com.tonghui.paybank
- com.bs.feifubao
- com.sapp.chatai
- com.sapp.starcoin
Infizierte iOS-Apps (App Store)
- im.pop.app.iOS.Messenger
- com.hkatv.ios
- com.atvnewsonline.app
- io.zorixchange
- com.yykc.vpnjsq
- com.llyy.au
- com.star.har91vnlive
- com.jhgj.jinhulalaab
- com.qingwa.qingwa888lalaaa
- com.blockchain.uttool
- com.wukongwaimai.client
- com.unicornsoft.unicornhttpsforios
- staffs.mil.CoinPark
- com.lc.btdj
- com.baijia.waimai
- com.ctc.jirepaidui
- com.ai.gbet
- app.nicegram
- com.blockchain.ogiut
- com.blockchain.98ut
- com.dream.towncn
- com.mjb.hardwood.Test
- com.galaxy666888.ios
- njiujiu.vpntest
- com.qqt.jykj
- com.ai.sport
- com.feidu.pay
- app.ikun277.test
- com.usdtone.usdtoneApp2
- com.cgapp2.wallet0
- com.bbydqb
- com.yz.Byteswap.native
- jiujiu.vpntest
- com.wetink.chat
- com.websea.exchange
- com.customize.authenticator
- im.token.app
- com.mjb.WorldMiner.new
- com.kh-super.ios.superapp
- com.thedgptai.event
- com.yz.Eternal.new
- xyz.starohm.chat
- com.crownplay.luckyaddress1
Was sollten Sie tun?
Falls Sie eine der oben aufgeführten Apps installiert haben, löschen Sie sie sofort. Selbst wenn die Entwickler ein Update herausgeben, ist es sicherer, die App zunächst zu deinstallieren und erst nach Bestätigung einer Korrektur erneut zu installieren.
Kaspersky warnt, dass diese Apps völlig normal erscheinen und ihre angeforderten Berechtigungen keine Verdachtsmomente hervorrufen, was sie besonders gefährlich macht. Da die Malware im Hintergrund arbeitet, bemerken Nutzer oft erst, dass sie infiziert sind, wenn ihre Kryptowallets bereits kompromittiert wurden.
So schützen Sie sich
- Speichern Sie keine Screenshots mit sensiblen Informationen
- Falls Sie Screenshots von Wiederherstellungsphrasen, Passwörtern oder privaten Schlüsseln von Kryptobörsen oder Wallets gemacht haben, löschen Sie sie sofort. Verwenden Sie stattdessen einen sicheren Passwort-Manager oder eine Hardware-Wallet.
- Seien Sie vorsichtig beim Herunterladen von Apps
- Auch Apps aus dem Google Play Store und dem App Store können infiziert sein. Überprüfen Sie Bewertungen, recherchieren Sie den Entwickler und seien Sie misstrauisch bei neuen Apps mit wenigen Downloads.
- Aktualisieren Sie Ihre Sicherheitssoftware
- Verwenden Sie eine vertrauenswürdige Sicherheitslösung auf Ihrem Gerät, um Malware zu erkennen. Aktivieren Sie Google Play Protect oder Apples Sicherheitswarnungen, um verdächtige Aktivitäten zu erkennen.
- Überwachen Sie Ihre Kryptokonten
- Falls Sie eine der infizierten Apps installiert haben, prüfen Sie Ihr Krypto-Wallet auf unautorisierte Transaktionen. Falls Sie verdächtige Aktivitäten bemerken, verschieben Sie Ihr Guthaben auf ein neues, sicheres Wallet.
- Vermeiden Sie nicht verifizierte Drittanbieter-Wallets
- Laden Sie Wallet-Apps nur von offiziellen Quellen herunter (z. B. direkt von der Website des Entwicklers oder aus verifizierten App-Store-Einträgen).
Die Entdeckung der SparkCat-Malware sowohl im Google Play Store als auch im Apple App Store stellt eine erhebliche Eskalation der Cyberbedrohungen für Krypto-Wallet-Nutzer dar. Der Einsatz von OCR-Technologie zum Spionieren von Screenshots macht diesen Angriff besonders gefährlich, da bereits das einfache Speichern eines Screenshots Ihre Gelder gefährden kann.
Obwohl Apple und Google die betroffenen Apps nach den Erkenntnissen von Kaspersky wahrscheinlich aus ihren Stores entfernen werden, müssen Nutzer wachsam bleiben. Angesichts der hohen Raffinesse dieser Malware ist es entscheidend, installierte Apps zu überprüfen, verdächtige Anwendungen zu löschen und die Art und Weise zu überdenken, wie Sie sensible Informationen auf Ihrem Gerät speichern.