Foto: Antlii/Shutterstock
Das Cybersicherheitsunternehmen Kaspersky Labs bietet Produkte zur Erhöhung der Online-Sicherheit von Unternehmen und Verbrauchern an. Es kartiert auch Kriminalität in der Kryptowelt, wie die Zunahme von Phishing-Angriffen. Dennoch entgeht das ursprünglich russische Unternehmen selbst nicht der Cyberkriminalität. In einigen Software Development Kits (SDK) von Kaspersky wurde Krypto-Malware gefunden.
Bösartige Software sucht nach Wiederherstellungssätzen
Entwickler aus der ganzen Welt nutzen Kaspersky Software Development Kits, um Apps für den Google Play Store und Apple Store zu erstellen. Diese Gruppe muss derzeit vorsichtig vorgehen. In einigen Apple- und Google-Apps für Mobiltelefone wurde Malware entdeckt. Dies schreiben zwei Analysten von Kaspersky in einem Bericht. Die bösartige Software heißt „SparkCat“ und Hacker räumen damit Krypto-Wallets aus. Kaspersky warnt auf „X“ vor den Gefahren dieser Malware:
*Beware the shadows in your app store.*
SparkCat’s claws sink deeper. First iOS crypto-stealer lurks in official stores, hijacking Google’s ML Kit to scan your gallery for wallet phrases. 242k+ downloads.
Even a „trusted“ food app hid its venom…. Your images? Stolen. Your… pic.twitter.com/BXR8XVz3t3
— Kaspersky (@kaspersky) February 6, 2025
Nicht jeder geht nach der Erstellung einer Krypto-Wallet vorsichtig vor. Manche Menschen machen einen Screenshot ihres Wiederherstellungssatzes, um ihn nicht zu vergessen. Darin liegt die Gefahr von „SparkCat“. Sergey Puzan und Dmitry Kalinin arbeiten als Analysten bei Kaspersky. In einem Bericht beschreiben sie die Vorgehensweise der Malware:
„Die Eindringlinge stehlen Wiederherstellungssätze für Krypto-Wallets, womit sie die volle Kontrolle über die Wallet des Opfers erlangen und so Gelder stehlen können.“
„SparkCat“ verwendet optische Zeichenerkennung. Das bedeutet, dass es Zahlen, Buchstaben und Satzzeichen von einem Bild abliest. In diesem Fall sucht die Malware nach Screenshots mit Wiederherstellungssätzen. Dafür verwendet sie Schlüsselwörter in verschiedenen Sprachen. Ist die Suche erfolgreich, füllt die Malware den Wiederherstellungssatz für den Zugang zur Krypto-Wallet aus. Hacker stehlen dann innerhalb weniger Sekunden den Inhalt. Im Jahr 2024 konnten Krypto-Hacker mehr als 1,2 Milliarden Dollar erbeuten. Eine besorgniserregende Entwicklung für den Kryptomarkt und Investoren.
Neben dem Stehlen von Wiederherstellungssätzen richtet „SparkCat“ noch viel mehr Schaden an, schreiben Kalinin und Puzan:
„Die Flexibilität der Malware ermöglicht es, nicht nur geheime Sätze zu stehlen, sondern auch andere persönliche Daten aus der Galerie, wie den Inhalt von Nachrichten oder Passwörter, die auf Screenshots zurückgeblieben sind.“
Viele Android- und iOS-Nutzer bereits Opfer
Android- und iOS-Nutzer aus der ganzen Welt sind bereits Opfer von „SparkCat“ geworden. Die meisten Opfer kommen aus Europa und Asien. In einer Rezension der Google-Apps-Seite teilt ein Betroffener mit, dass die bösartige Software „deine Bilder scannt und persönliche Informationen stiehlt“. Kaspersky schätzt, dass die Malware seit März 2024 bereits 242.000 Mal heruntergeladen wurde. Auch Deutsche entgehen leider nicht verschiedenen Formen von Krypto-Betrug.
Die bösartige Software ist ein großes Problem für Google und Apple. Sie befindet sich mittlerweile in Dutzenden echten und gefälschten Apps im Google Play Store und Apple Store. Die infizierten Apps haben jedoch einige gemeinsame Merkmale. So wird die Programmiersprache Rust verwendet, die selten in mobilen Apps eingesetzt wird. Darüber hinaus nutzen die infizierten Apps oft Cross-Plattform-Möglichkeiten und komplexe Techniken, die das Erkennen von Krypto-Malware erschweren.
Laut den Analysten von Kaspersky ist es sehr riskant, sensible Informationen auf dem Telefon zu speichern. Statt Screenshots ist es klüger, den Wiederherstellungssatz über einen Passwort-Manager aufzubewahren. Außerdem rät das Trio, verdächtige Software und infizierte Apps sofort zu entfernen.
Woher kommt die Malware?
Es ist unklar, wie die Malware genau in die Apps gelangt ist. Möglicherweise haben Entwickler bewusst einen Trojaner eingebettet. Das bedeutet, dass Malware in legitimer Software versteckt ist. Nutzer laden die schädliche Software herunter, ohne es zu wissen. Dafür gibt es jedoch keine Beweise. Eine andere Option ist ein Supply-Chain-Angriff, bei dem Cyberkriminelle absichtlich schädlichen Code in Updates, legitime Software und/oder Hardware installieren. Kalinin und Puzan sind sich noch nicht sicher, schreiben aber Folgendes darüber:
„Einige Apps, wie Lieferdienste, scheinen legitim zu sein. Andere sind eindeutig darauf ausgelegt, Opfer anzulocken. Wir haben zum Beispiel verschiedene ähnliche ‚Messaging-Apps‘ mit KI-Funktionen vom selben Entwickler gesehen“
Woher die bösartige Software stammt, ist ebenfalls ein großes Rätsel. Möglicherweise sind Kalinin und Puzan einer Spur auf der Fährte. Die Fehlerbeschreibungen und Kommentare im Code sind auf Chinesisch geschrieben: „Dadurch haben wir Grund zu der Annahme, dass der Entwickler des bösartigen Moduls fließend Chinesisch spricht“. Kaspersky deckt regelmäßig Formen von Krypto-Betrug auf, wie Betrüger, die ironischerweise versuchen, das Geld von Kryptodieben zu stehlen.
