Zum Hauptinhalt springen

SparkCat ist zurück: Neue Malware-Variante im App Store und in Google Play gefunden

2. April 2026

Schadsoftware versteckt sich in Apps für Lieferdienste und Unternehmenskommunikation

Eine neue Variante der SparkCat-Malware verbreitet sich über legitime Apps wie Messenger und Lieferdienste in Google Play und im App Store und stellt eine Bedrohung für Smartphone-Nutzer dar [1]. Die Schadsoftware kann heimlich auf Fotos zugreifen und diese nach sensiblen Informationen wie Zugangsdaten zu Krypto-Wallets durchsuchen. Dabei scheinen die Angreifer regional unterschiedliche Taktiken anzuwenden: Während die Android-Version Nutzer in Asien ins Visier nimmt, kann die iOS-Variante weltweit aktiv werden.

Die neue Version von SparkCat wird über legitime, aber kompromittierte Apps verbreitet, darunter Messenger für die Unternehmenskommunikation sowie eine Essensliefer-App. Die Kaspersky-Experten identifizierten davon zwei infizierte Apps im App Store sowie eine im Google Play. Des Weiteren wurden diese Apps über Drittanbieter-Webseiten verbreitet. Einige dieser Seiten imitieren den App Store, sofern sie von einem iPhone aus aufgerufen werden.

Die aktualisierte Android-Variante des Trojaners durchsucht die Bildergalerien kompromittierter Geräte nach Screenshots mit bestimmten Schlüsselwörtern in japanischer, koreanischer und chinesischer Sprache. Die Kaspersky-Experten gehen daher davon aus, dass sich die Kampagne primär gegen Krypto-Währungsnutzer in Asien richtet. Die iOS-Variante hingegen sucht nach englischsprachigen Mnemonics von Krypto-Wallets. Dadurch ergibt sich ein potenziell deutlich größeres Zielgebiet, da Nutzer weltweit, unabhängig von ihrer Region, betroffen sein können.

Im Vergleich zu früheren Versionen von SparkCat verfügt die aktuelle Android-Variante über mehrere zusätzliche Verschleierungsebenen, darunter Code-Virtualisierung und den Einsatz plattformübergreifender Programmiersprachen. Solche Techniken wurden bei mobiler Malware bislang eher selten dokumentiert.

Kaspersky hat die identifizierten schädlichen Anwendungen an Google und Apple gemeldet. Der Schadcode wurde inzwischen aus allen drei Apps entfernt.

„Die aktualisierte Variante von SparkCat fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie des Nutzers, ähnlich wie bereits die erste Version des Trojaners“, so Sergey Puzan, Cybersicherheitsexperte bei Kaspersky. „Anschließend analysiert sie mithilfe eines OCR-Moduls den Text in den gespeicherten Bildern. Erkennt die Schadsoftware relevante Schlüsselwörter, wird das entsprechende Bild an die Angreifer übermittelt. Aufgrund der starken Ähnlichkeiten gehen wir davon aus, dass hinter beiden Versionen dieselben Entwickler stehen. Diese Kampagne verdeutlicht einmal mehr, wie wichtig Sicherheitslösungen für Smartphones sind, um sich vor vielfältigen Cyberbedrohungen zu schützen.“

„SparkCat stellt eine sich kontinuierlich weiterentwickelnde Bedrohung für mobile Geräte dar“, ergänzt Dmitry Kalinin, Cybersicherheitsexperte bei Kaspersky. „Die Angreifer erhöhen die Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen der offiziellen App-Stores zu umgehen. Zudem sind Methoden wie Code-Virtualisierung und der Einsatz plattformübergreifender Programmiersprachen für mobile Malware ungewöhnlich und sprechen für ein hohes technisches Niveau der Angreifer.“

Kaspersky-Produkte erkennen die neue Version unter HEUR:Trojan.AndroidOS.SparkCat. und HEUR:Trojan.IphoneOS.SparkCat.

Kaspersky-Tipps zum Schutz vor SparkCat

  • Die infizierte App umgehend vom Gerät entfernen und nicht mehr verwenden.
  • Keine Screenshots mit sensiblen Informationen, einschließlich Wiederherstellungsphrasen für Krypto-Wallets erstellen und speichern.
  • App-Berechtigungen stets überprüfen; bittet eine App um Erlaubnis, auf die Fotobibliothek des Geräts zuzugreifen, sollte geprüft werden, ob der Zugriff wirklich erforderlich ist.
  • Passwörter wie auch Wiederherstellungsphrasen für Krypto-Wallets in dedizierten Passwort Managern wie Kaspersky Password Manager [2] speichern.
  • Alle Geräte mit einer robusten mobilen Sicherheitssoftware wie Kaspersky Premium [3] schützen.


Weitere Informationen sind verfügbar unter https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/

 

[1] https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/

[2] https://www.kaspersky.de/password-manager

[3] https://kas.pr/re3t 


Nützliche Links:

 

SparkCat ist zurück: Neue Malware-Variante im App Store und in Google Play gefunden

Schadsoftware versteckt sich in Apps für Lieferdienste und Unternehmenskommunikation
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Die tiefgreifende Threat Intelligence und die Sicherheitsexpertise von Kaspersky bilden die Basis für innovative Lösungen und Dienstleistungen zum Schutz von Privatanwendern, Unternehmen, kritischen Infrastrukturen und Regierungen weltweit. Bis heute hat Kaspersky über eine Milliarde Geräte vor neu auftretenden Cyberbedrohungen und gezielten Angriffen geschützt. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden digitalen Schutz für private Geräte, spezialisierte Sicherheitsprodukte und -dienstleistungen für Unternehmen sowie Lösungen für die Cyber-Immunität zur Bekämpfung komplexer und sich ständig weiterentwickelnder digitaler Bedrohungen. Wir helfen Millionen von Privatanwendern und fast 200.000 Unternehmenskunden, das zu schützen, was ihnen am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen