Neue SparkKitty-Malware trifft über Apple- und Google-Apps über 5.000 Krypto-Nutzer

Eine neue Form mobiler Spyware nutzt Schwachstellen in den App-Überprüfungssystemen von Apple und Google aus, um Krypto-Nutzer in Südostasien und China ins Visier zu nehmen.

Die Malware mit dem Namen SparkKitty konzentriert sich auf den Diebstahl von Screenshots von Wallet-Seed-Phrasen, die in Handy-Galerien gespeichert sind.

Cybersicherheitsforscher von Kaspersky enthüllten , dass die Spyware in scheinbar legitime Anwendungen eingebettet war, darunter Krypto-Portfolio-Tracker und modifizierte Versionen beliebter Apps wie TikTok.

Die Malware-Kampagne, die auf eine frühere Variante namens SparkCat zurückgeht, ist seit mindestens April 2024 aktiv.

Einige App-Beispiele reichen sogar noch weiter zurück.

Nach der Installation verwendet SparkKitty irreführende Berechtigungen und OCR-Technologie (Optical Character Recognition), um Bilder mit sensiblem Text wie Seed-Phrasen zu identifizieren und zu übertragen – ein Angriffsvektor mit schwerwiegenden Auswirkungen auf jeden, der seine Wiederherstellungsphrasen auf seinen Geräten speichert.

Infizierte Krypto Apps die Sicherheit des Geschäfts umgangen

Die Analyse von Kaspersky zeigt, dass SparkKitty erfolgreich den offiziellen Google Play Store und den App Store von Apple infiltriert hat.

Die betroffenen Anwendungen, darunter Soex Wallet Tracker und Coin Wallet Pro, tarnten sich als Krypto-Tools, die Echtzeit-Tracking, Portfoliomanagement und Multi-Chain-Wallet-Dienste anbieten.

In einem Fall wurde der Soex Wallet Tracker über 5.000 Mal heruntergeladen, bevor er von der Liste genommen wurde.

Coin Wallet Pro, das sich als sichere digitale Geldbörse positionierte, gewann Berichten zufolge durch Social-Media-Werbung und Telegram-Kanäle an Zugkraft.

Diese Kanäle ermutigten die Nutzer, die App herunterzuladen und zusätzliche Entwicklerprofile zu installieren – unter Umgehung der normalen App-Überprüfungsmechanismen.

Dieser zusätzliche Schritt ermöglichte es der Malware, außerhalb des standardmäßigen Sandbox-Schutzes zu arbeiten, der normalerweise den Zugriff auf Fotogalerien und Systemdaten einschränkt.

Durch die Aufforderung der Benutzer bei bestimmten Aktivitäten, wie z. B. Support-Chats, könnte SparkKitty Zugriff auf den Fotospeicher erhalten.

Nach der Erteilung verwendete es OCR, um alle in Screenshots sichtbaren Seed-Phrasen zu extrahieren.

Diese Phrasen sind entscheidend für den Krypto Wallet Zugang und die Wiederherstellung, und der Verlust der Kontrolle über sie kann zum vollständigen Verlust von Geldern führen.

SparkKitty-Malware zielt auf visuellen Datendiebstahl ab

Im Gegensatz zu herkömmlicher Malware, die direkten Zugriff auf Wallet-Apps oder private Schlüssel sucht, deutet der Fokus von SparkKitty auf Bildergalerien auf eine Verschiebung hin zur Ausnutzung visueller Datenspeichergewohnheiten bei den Benutzern hin.

Viele Personen, insbesondere neuere Krypto-Nutzer, speichern der Einfachheit halber Screenshots ihrer Wallet-Seed-Phrasen.

Diese Praxis wird zwar von den meisten Wallet-Anbietern abgeraten, ist aber nach wie vor weit verbreitet.

SparkKitty macht sich dieses Verhalten zunutze, indem es Tausende von Bildern im Hintergrund scannt und nach Wortfolgen sucht, die den gängigen Seed-Phrase-Formaten entsprechen.

Einmal identifiziert, werden diese an Remote-Server zurückgesendet, die von den Angreifern kontrolliert werden.

Das visuelle Erkennungsmodell der Malware scheint für die Länge und die Formate von Seed-Phrasen optimiert zu sein, die von beliebten Wallets wie MetaMask, Trust Wallet und Phantom verwendet werden.

Kaspersky erklärte, dass sich der Großteil der Infektionen zwar auf Südostasien und China zu konzentrieren scheint, die Methode der App-Verbreitung – über soziale Medien und App-Stores – sie jedoch hochgradig skalierbar macht.

Ähnliche Angriffe könnten mit minimalen Änderungen an der Codebasis leicht auf andere Regionen oder Benutzerbasen umgeleitet werden.

Apple und Google nehmen Apps vom Netz, Überprüfungssystem auf dem Prüfstand

Nach der Warnung von Kaspersky entfernten Apple und Google die markierten Apps von ihren Plattformen.

Es bleibt jedoch die Frage, wie diese Apps es geschafft haben, die ersten Bewertungen zu bestehen.

Die Verwendung von Entwicklerprofilen zur Umgehung von App-Sandboxing deutet auf eine Schwachstelle in den Berechtigungsstrukturen mobiler Betriebssysteme hin, insbesondere in Fällen, in denen Benutzer davon überzeugt sind, umfassenden Zugriff zu gewähren.

Kaspersky warnte davor, dass die Kampagne möglicherweise immer noch auf weniger regulierten App-Marktplätzen oder über direkte APK-Downloads aktiv ist.

Sicherheitsteams haben ähnliche Verhaltensmuster bei neueren Apps beobachtet, insbesondere bei solchen, die mit reinen Krypto-Funktionen oder dezentralen Finanztools (DeFi) verbunden sind.

Als Vorsichtsmaßnahme werden die Benutzer aufgefordert, keine Seed-Phrasen in ihren Fotogalerien zu speichern und die Installation unbekannter Profile oder den Zugriff auf die Galerie für nicht vertrauenswürdige Apps zu vermeiden.

Mehrere Krypto-Influencer und Sicherheitskonten auf Twitter und Telegram haben ebenfalls Warnungen vor dem Vorfall in Umlauf gebracht.

Das Kaspersky-Team verfolgt weiterhin die Netzwerkinfrastruktur von SparkKitty und hat Indikatoren für eine Kompromittierung mit den zuständigen Cyber-Behörden geteilt.