Bereits zweite Malware innerhalb eines Jahres, die Kaspersky-Experten in offiziellen Appstores entdecken
· Neuer Trojaner greift Android- und iOS-Nutzer an und schickt Bilder und Informationen an Angreifer
· SparkKitty tarnt sich als App mit Krypto- oder Glücksspielbezug sowie als TikTok-App
Kaspersky hat einen neuen Spionage-Trojaner namens SparkKitty entdeckt, der Smartphones sowohl unter iOS als auch Android betrifft [1]. SparkKitty sendet Bilder von einem infizierten Telefon und Informationen über das Gerät an die Angreifer. Die Schadsoftware war in Apps für Kryptowährungen und Glücksspiel sowie in einer trojanisierten TikTok-App eingebettet und wurde im App Store, bei Google Play und auf betrügerischen Websites verbreitet. Kaspersky hat Google und Apple informiert.
Die Spionage-Software SparkKitty greift gezielt Smartphones mit iOS- und Android-Betriebssystemen an, um Informationen abzugreifen. Bestimmte technische Details deuten darauf hin, dass die Malware-Kampagne mit dem SparkCat-Trojaner [2] in Verbindung steht. SparkCat zielt ebenfalls sowohl auf iOS als auch Android ab und hat es auf Passwörter und Recovery Phrases für Krypto-Wallets abgesehen, die sie über OCR aus Screenshots von Nutzern extrahiert. SparkKitty ist nach SparkCat bereits die zweite Malware innerhalb eines Jahres, die Kaspersky-Experten in offiziellen Appstores entdeckt haben.
iOS – Verteilung des Trojaners mittels App Store und Phishing-Webseiten
Der Trojaner, der auf iOS zielte, tarnte sich unter verschiedenen Deckmänteln:
- Im App Store als App ‚币coin, bei der es sich vermeintlich um eine Kryptobörse handelte.
- Auf Phishing-Seiten, die den offiziellen iPhone App Store imitierten, als TikTok und Glücksspiel-Apps.
„Einer der Verbreitungswege des Trojaners waren gefälschte Websites, auf denen die Angreifer versuchten, iPhones zu infizieren“, erklärt Sergey Puzan, Malware-Experte bei Kaspersky. „iOS bietet mehrere legitime Möglichkeiten, Programme zu installieren, die nicht aus dem App Store stammen. In dieser Malware-Kampagne nutzten die Angreifer eine davon – spezielle Entwicklertools zur Verbreitung von Unternehmensanwendungen. In der gefälschten TikTok-Version stahl die Malware während der Autorisierung nicht nur Fotos vom Gerät, sondern bettete auch Links zu einem verdächtigen Shop in das Profilfenster der betroffenen Person ein. Dieser Shop akzeptiert ausschließlich Kryptowährungen, was unsere Bedenken verstärkt.“
Android – Verteilung mittels Google Play und infizierten APK-Dateien
Auch bei den Angriffen gegen Android-Nutzer schlugen die Cyberkriminellen unterschiedliche Wege ein. Die Angreifer zielten sowohl auf Nutzer von Drittanbieter-Websites als auch auf Google Play ab und gaben die Malware als verschiedene Krypto-Apps aus. Die infizierte Anwendung SOEX wurde über 10.000 Mal aus dem offiziellen Appstore heruntergeladen. Die Kaspersky-Experten fanden außerdem infizierte APK-Dateien auf Drittanbieter-Websites. Diese Dateien können direkt auf Android-Smartphones installiert werden – ohne den Umweg über offizielle Stores. Die betreffenden Websites stehen vermutlich in Verbindung mit der erkannten Schadkampagne. Sie geben sich als Krypto-Investitionsprojekte aus. Die Websites, auf denen diese Anwendungen veröffentlicht wurden, wurden über Plattformen wie YouTube beworben.
„Nach der Installation funktionierten die Apps wie versprochen“, so Dmitry Kalinin, Malware-Experte bei Kaspersky. „Gleichzeitig wurden jedoch Fotos aus der Smartphone-Galerie an die Angreifer gesendet. Diese könnten später versuchen, in den Bildern vertrauliche Daten zu finden, wie beispielsweise Wiederherstellungsphrasen für Krypto-Wallets, um auf die Vermögenswerte der Opfer zuzugreifen. Denn es gibt indirekte Hinweise darauf, dass die Cyberkriminellen genau an solchen interessiert sind: Viele der infizierten Apps hatten einen Bezug zu Kryptowährungen, und die trojanisierte TikTok-App verfügte zudem über einen integrierten Store, der Zahlungen für Waren nur in Kryptowährungen akzeptierte.“
Kaspersky-Tipps zum Schutz vor Malware
- Die infizierte App umgehend vom Gerät entfernen und nicht mehr verwendet.
- Keine Screenshots mit sensiblen Informationen, einschließlich Wiederherstellungsphrasen für Krypto-Wallets erstellen und speichern.
- Passwörter wie auch Wiederherstellungsphrasen für Krypto-Wallets in dedizierten Passwort Managern wie Kaspersky Password Manager [3] speichern.
- Alle Geräte mit einer robusten mobilen Sicherheitssoftware wie Kaspersky Premium [4] schützen. Aufgrund der architektonischen Besonderheiten des Apple-Betriebssystems zeigt die Kaspersky-Lösung für iOS eine Warnung an, wenn ein Versuch festgestellt wird, Daten an den Command-Server des Angreifers zu übertragen, und blockiert die Übertragung dieser Daten.
- App-Berechtigungen stets überprüfen; bittet eine App um Erlaubnis, auf die Fotobibliothek des Geräts zuzugreifen, sollte geprüft werden, ob der Zugriff wirklich erforderlich ist.
Weitere Informationen sind verfügbar unter https://securelist.com/sparkkitty-ios-android-malware/116793/
[1] https://securelist.com/sparkkitty-ios-android-malware/116793/
[2] https://www.kaspersky.de/blog/ios-android-ocr-stealer-sparkcat/31944/
[3] https://www.kaspersky.de/password-manager
[5] https://securelist.com/sparkkitty-ios-android-malware/116793/
Nützliche Links:
- Kaspersky-Analyse zu SparkKitty: https://securelist.com/sparkkitty-ios-android-malware/116793/
- Kaspersky-Informationen zu SparkCat: https://www.kaspersky.de/blog/ios-android-ocr-stealer-sparkcat/31944/
- Kaspersky Premium: https://kas.pr/re3t
