Die Malware versteckt sich unter anderem in Messenger-Apps wie WeTink oder KI-Apps wie AnyGPT oder ChatAI. Allein über Google Play wurde sie über 242.000 Mal heruntergeladen. Betroffen sind Nutzer aus Europa, Asien und den Vereinigten Arabischen Emiraten. Kaspersky hat die Entdeckungen bereits an Google und Apple gemeldet.
Sergey Puzan, Malware-Analyst bei Kaspersky: „Dies ist der erste bekannte Fall eines OCR-basierten Trojaners, der sich in den AppStore eingeschlichen hat. Sowohl im Hinblick auf den AppStore als auch auf Google Play ist derzeit unklar, ob Anwendungen in diesen Stores durch einen Supply-Chain-Angriff oder auf andere Weise kompromittiert wurden. Einige Apps, wie Lieferdienste für Lebensmittel, wirken legitim, während andere eindeutig lediglich als Köder dienen.“
Wie funktioniert ‚SparkCat‘?
Nach der Installation fordert die Malware oft Zugriff auf die Fotos in der Smartphone-Galerie eines Nutzers an. Anschließend analysiert sie den Text in den gespeicherten Bildern mithilfe eines OCR-Moduls und sendet Fotos an die Angreifer, wenn relevante Schlüsselwörter erkannt wurden. Besonders interessant für Hacker: Recovery-Phrasen für Kryptowährungs-Wallets. Denn mit diesen Informationen können sie die vollständige Kontrolle über die Wallet eines Opfers erlangen und Gelder stehlen.
Die Tarnung des Trojaners macht es sowohl für die Moderatoren der Stores als auch für mobile Nutzer schwer, ihn zu entdecken. Zudem erscheinen die von ihm angeforderten Berechtigungen auf den ersten Blick unverdächtig, wodurch sie leicht übersehen werden können. Nutzer könnten die von der Malware angestrebte App-Berechtigung für den Galerie-Zugriff als wichtig für deren Funktionalität erachten. Diese Berechtigung wird typischerweise in passenden Kontexten abgefragt, etwa wenn Nutzer den Kundensupport kontaktieren.
Kommentare