Trojaner SparkKitty klaut Fotos von Smartphones, mit bestimmtem Ziel

Sicherheitsforscher haben eine neue und durchaus clevere Be­dro­hung entdeckt: Die SparkKitty-Malware stiehlt Fotos von iOS- und Android-Geräten, um an Krypto-Wallets zu gelangen. Die Schad­soft­ware versteckt sich dabei in den offiziellen Stores.

Neue Malware gefährdet Smartphone-Nutzer

Eine neue Schadsoftware namens SparkKitty bedroht Nutzer von iOS- und Android-Geräten. Die Malware hat es auf die Fotogalerien der Betroffenen abgesehen und steht vermutlich mit der bereits bekannten SparkCat-Malware in Verbindung. Das Hauptziel der Angreifer, die vor allem in Asien ihre Opfer suchen, ist es, etwaige Kryptowährungen zu stehlen.

Die Verbreitung der Malware erfolgt über verschiedene Wege: Die Angreifer nutzen einen ausgeklügelten Ansatz, indem sie schädliche Code-Komponenten in Apps einbetten und diese sowohl über offizielle App Stores wie Google Play und den Apple App Store als auch über inoffizielle Quellen und Phishing-Websites verbreiten. Der Trojaner war unter anderem in Apps zu finden, die mit Kryptowährungen, Glücksspiel und sogar in einer manipulierten Version von TikTok in Verbindung stehen.

Fiese Funktionsweise

Die Funktionsweise von SparkKitty ist besonders heimtückisch: Nach der Installation lädt die Malware ausnahmslos alle Bilder aus der Galerie des infizierten Geräts auf einen Server der Angreifer hoch. Dabei kann es sich auch um Screenshots mit sensiblen Informationen wie Seed-Phrasen für Krypto-Wallets handeln, was den Angreifern direkten Zugriff auf die digitalen Vermögenswerte der Opfer ermöglicht. Laut einem Kaspersky-Blogbeitrag ist dies bereits das zweite Mal innerhalb eines Jahres, dass Sicherheitsforscher einen Trojaner im App Store entdeckt haben.


Der Vorgänger SparkCat war der erste seiner Art auf iOS-Geräten und verfügte über ein eingebautes Modul zur optischen Zeichenerkennung (OCR), das gezielt nach Wiederherstellungsphrasen für Krypto-Wallets oder Passwörtern in Bildern suchte. Im Gegensatz dazu geht SparkKitty weniger selektiv vor und stiehlt wahllos alle verfügbaren Fotos.

Tarnung in offiziellen App-Stores

Im App-Store tarnte sich der Trojaner als kryptowährungsbezogene App namens "币coin". Auf Phishing-Seiten, die den offiziellen iPhone-App-Store imitierten, wurde die Malware als TikTok und Glücksspiel-Anwendungen getarnt.

Eine der Verbreitungsmethoden des Trojaners waren gefälschte Websites, auf denen die Angreifer versuchten, die iPhones der Opfer zu infizieren. iOS bietet mehrere legitime Möglichkeiten, Programme außerhalb des App Stores zu installieren. In dieser bösartigen Kampagne nutzten die Angreifer eine davon - spezielle Entwicklertools zur Verteilung von Unternehmens-Apps.

Auch im Google Play Store wurden Nutzer ins Visier genommen. Eine der infizierten Anwendungen - ein Messenger namens SOEX mit Kryptowährungs-Austauschfunktion - wurde über 10 000 Mal aus dem offiziellen Store heruntergeladen. Experten fanden zudem APK-Dateien infizierter Apps auf Drittanbieter-Websites, die wahrscheinlich mit der entdeckten Malware-Kampagne in Verbindung stehen. Diese wurden als Investitionsprojekte für Kryptowährungen dargestellt und über soziale Netzwerke wie YouTube beworben.

Google hat inzwischen bestätigt, dass die betroffene App entfernt und der Entwickler gesperrt wurde. Ein Google-Sprecher betonte, dass Android-Nutzer standardmäßig durch Google Play Protect vor solchen Bedrohungen geschützt sind. Die Malware wird über verschiedene Kanäle verbreitet, darunter Casino-Apps, Spiele für Erwachsene und gefälschte TikTok-Klone.

Was meint ihr zu dieser neuen Bedrohung? Habt ihr Erfahrungen mit verdächtigen Apps gemacht oder seid ihr besonders vorsichtig bei der Erteilung von Zugriffsberechtigungen? Teilt eure Meinungen und Tipps gerne in den Kommentaren.


Siehe auch: