Rund ein Jahr nach der erstmaligen Entdeckung des SparkCat-Trojaners haben Sicherheitsforscher von Kaspersky eine neue, deutlich weiterentwickelte Variante der Schadsoftware identifiziert. Die aktualisierte Version ist in der Lage, die Sicherheitsmechanismen sowohl von Apples App Store als auch von Google Play zu umgehen, und wurde in kompromittierten legitimen Anwendungen verbreitet – darunter Business-Messaging-Apps und Essenslieferdienste.
Kaspersky-Experten konnten insgesamt drei infizierte Anwendungen nachweisen: zwei im Apple App Store und eine im Google Play Store. Der Schadcode wurde inzwischen aus allen betroffenen Apps entfernt. Die Malware zielt primär auf Kryptowährungsnutzer ab, indem sie mithilfe optischer Zeichenerkennung (OCR) die Fotogalerien infizierter Geräte nach Screenshots von Seed-Phrasen und Wiederherstellungsschlüsseln für Krypto-Wallets durchsucht. Werden relevante Schlüsselwörter erkannt, sendet die Schadsoftware die entsprechenden Bilder an einen Command-and-Control-Server der Angreifer.
Die Android-Version der neuen SparkCat-Variante weist dabei erhebliche technische Weiterentwicklungen auf. Die Entwickler haben mehrere Schichten der Verschleierung implementiert, darunter Code-Virtualisierung und den Einsatz plattformübergreifender Programmiersprachen – Techniken, die im Bereich mobiler Malware als ausgesprochen selten gelten. Darüber hinaus nutzt die Schadsoftware weiterhin einen auf Rust basierenden Kommunikationsmechanismus für die Verbindung zum C2-Server, was ebenfalls eine Besonderheit im mobilen Bedrohungsumfeld darstellt.
Die aktualisierte Android-Variante durchsucht Screenshots gezielt nach Schlüsselwörtern in Japanisch, Koreanisch und Chinesisch, was auf eine primäre Ausrichtung der Kampagne auf den asiatischen Kryptowährungsmarkt hindeutet.
Der ursprüngliche SparkCat-Trojaner war im Februar 2025 von Kaspersky aufgedeckt worden und galt als erster OCR-basierter Stealer, der es in den Apple App Store geschafft hatte. Damals identifizierten die Forscher zehn infizierte Apps im Google Play Store und elf im App Store, mit insgesamt mehr als 242.000 Downloads allein über Google Play. Die Kampagne richtete sich seinerzeit vorwiegend gegen Nutzer in Europa und Asien, wobei Hinweise auf einen chinesischsprachigen Bedrohungsakteur deuteten. Mitte 2025 entdeckte Kaspersky zudem die verwandte Variante SparkKitty, die in trojanisierten TikTok-Klonen, Glücksspiel-Apps und weiteren Anwendungen verbreitet wurde und in Java- sowie Kotlin-Versionen existierte.
Kaspersky-Sicherheitsexperte Dmitry Kalinin ordnete die Bedrohungslage ein: SparkCat stelle eine sich kontinuierlich weiterentwickelnde mobile Bedrohung dar. Die Autoren steigerten die Komplexität ihrer Anti-Analyse-Techniken fortlaufend, um die Prüfmechanismen der offiziellen App Stores zu umgehen. Das verwendete technische Niveau – insbesondere die Code-Virtualisierung und der Einsatz seltener Programmiersprachen im mobilen Kontext – zeuge von einem hohen Kompetenzgrad der Bedrohungsakteure.
Schlussendlich verdeutlicht die Rückkehr von SparkCat in einer technisch ausgereifteren Form, dass weder der App Store noch Google Play eine absolute Garantie gegen Schadsoftware bieten. Nutzer sollten keine Screenshots sensibler Informationen wie Seed-Phrasen oder Passwörter in ihrer Fotogalerie speichern und auf spezialisierte Passwort-Manager zurückgreifen. Wer kürzlich Business-Messaging- oder Lieferdienst-Apps aus offiziellen Stores installiert hat, sollte diese auf verdächtiges Verhalten überprüfen und im Zweifelsfall deinstallieren.
Quelle: https://thehackernews.com/2026/04/new-sparkcat-variant-in-ios-android.html
Andere Artikel:
- Die beispiellose Jagd nach der PTC-Lücke
- WhatsApp Spyware iOS
- GeoOSINT
- 81 Monate Haft für den Türöffner
- Notfall-Update KB5085516
- Google Chrome Zero-Day
- Mandiant AI Risk Report
- WordPress 6.9.3 Update
- SAP Security Patch Day
- 18 Millionen Dollar für Escape
- Auditing the Gatekeepers
- FBI Hackerangriff
- Signal und WhatsApp Hack
- Google Chrome Notfall-Update
- Cisco Security Advisory
- Cisco SD-WAN Zero-Day
