SparkCat-Malware
Eine kürzlich aufgedeckte Bedrohungskampagne namens SparkCat hat sowohl Apples App Store als auch Google Play infiltriert und dazu betrügerische Apps verwendet, die darauf ausgelegt sind, Wiederherstellungsphrasen für Kryptowährungs-Wallets zu sammeln. Diese als legitime Dienste getarnten Anwendungen extrahieren heimlich Merkphrasen von den Geräten der Opfer und gefährden so digitale Vermögenswerte.
Inhaltsverzeichnis
OCR ausnutzen, um Wallet-Wiederherstellungsphrasen zu sammeln
SparkCat nutzt ein fortschrittliches OCR-Modell (Optical Character Recognition), um die Fotobibliotheken der Benutzer nach Bildern zu durchsuchen, die Wallet-Wiederherstellungsphrasen enthalten. Sobald diese sensiblen Bilder erkannt werden, werden sie auf einen Remote-Command-and-Control-Server (C2) übertragen. Die Kampagne ist nach einem eingebetteten Software Development Kit (SDK) benannt, das eine Java-Komponente namens Spark enthält, die sich als Analysemodul tarnt. Es bleibt unklar, ob diese Infiltration durch einen Supply-Chain-Angriff erfolgte oder von den Entwicklern absichtlich eingeleitet wurde.
Einbruch in Apples App Store
Android-Bedrohungen mit OCR-Funktionen sind zwar schon früher aufgetaucht, doch SparkCat ist einer der ersten Fälle eines solchen Angriffs, der seinen Weg in den App Store von Apple fand. Bei Google Play wurden die kompromittierten Anwendungen über 242.000 Mal heruntergeladen, bevor sie am 7. Februar 2025 von beiden Plattformen entfernt wurden.
Ein plattformübergreifender Betrieb
Es gibt Hinweise darauf, dass SparkCat seit März 2024 aktiv ist. Seine unsicheren Anwendungen werden sowohl über offizielle als auch über Drittanbieter-App-Stores vertrieben. Die betrügerischen Anwendungen imitieren KI-Tools, Essenslieferdienste und Web3-Plattformen, wobei einige sogar scheinbar legitime Funktionen bieten, um keinen Verdacht zu erregen.
Wie SparkCat Daten sammelt
Auf Android-Geräten entschlüsselt und aktiviert die Malware ein OCR-Plug-in, das auf der ML Kit-Bibliothek von Google basiert. Es durchsucht Bildergalerien nach Text, der mit vordefinierten Schlüsselwörtern von seinem C2-Server übereinstimmt. Alle markierten Bilder werden dann an die Angreifer übermittelt.
Die iOS-Variante von SparkCat verwendet den exakt gleichen OCR-Mechanismus wie der ML Kit, um vertrauliche Informationen zu identifizieren und zu extrahieren. Einzigartig ist, dass diese Version auch ein Rust-basiertes Kommunikationsframework für die Interaktion mit seinem C2-Server verwendet – eine ungewöhnliche Taktik bei mobilen Bedrohungen.
Wer steckt hinter dem Angriff?
Die Analyse der verwendeten Schlüsselwörter und der Verteilungsmuster lässt darauf schließen, dass SparkCat in erster Linie auf Benutzer in Europa und Asien abzielt. Die Beweise deuten darauf hin, dass Bedrohungsakteure fließend Chinesisch sprechen, ihre genaue Identität ist jedoch unbekannt.
Ein getarnter Trojaner
Was SparkCat besonders trügerisch macht, ist seine Fähigkeit, zu agieren, ohne dass es zu Warnsignalen kommt. Die von ihm angeforderten Berechtigungen scheinen entweder für die beworbenen Funktionen der Anwendung notwendig oder harmlos zu sein, sodass es sich unauffällig einfügt, ohne Verdacht zu erregen. Dieser heimliche Ansatz macht es für Benutzer schwieriger, die Bedrohung zu erkennen, bevor ihre Kryptowährungs-Wallets kompromittiert werden.
