Sch\u00e4dliche Zugabe f\u00fcr legitime Apps<\/h2>\n
Apps, die sch\u00e4dliche SparkCat-Komponenten enthalten, lassen sich in zwei Gruppen unterteilen. Einige Apps waren eindeutig als K\u00f6der gedacht. So zum Beispiel zahlreiche gleichartige Messenger-Apps, die angeblich KI-Funktionen bieten und alle vom selben Entwickler stammen. Daneben gibt es einige legitime Apps, wie beispielsweise Essenslieferdienste, Newsreader und Dienstprogramme f\u00fcr Krypto-Wallets. Wir wissen bisher noch nicht, wie die Trojaner-Funktionalit\u00e4t in diese Apps gelangt ist. M\u00f6glicherweise wurden sie durch einen Angriff auf die Lieferkette<\/a> einer Drittanbieterkomponente infiziert. Oder die Entwickler haben den Trojaner absichtlich in ihre Apps eingebettet.<\/p>\n Die erste App, in der wir SparkCat entdeckten, war ComeCome. Dieser Essenslieferdienst ist in den Vereinigten Arabischen Emiraten und Indonesien verf\u00fcgbar. Die infizierte App wurde sowohl bei Google Play als auch im App Store gefunden<\/p><\/div>\n Der Stealer analysiert Fotos in der Smartphone-Galerie. Deshalb verlangen alle infizierten Apps den Zugriff auf die Galerie. In vielen F\u00e4llen scheint diese Anfrage v\u00f6llig harmlos zu sein. Beispielsweise fragte die ComeCome-App direkt beim \u00d6ffnen des Chats nach dem Zugriff auf den Kundensupport-Chat. Das sah v\u00f6llig normal aus. Andere Apps fordern den Galeriezugriff an, wenn ihre Hauptfunktionen gestartet werden. Auch dies erscheint nicht verd\u00e4chtig. Schlie\u00dflich m\u00f6chtest du in einem Messenger Fotos teilen k\u00f6nnen, nicht wahr?<\/p>\n Sobald der Nutzer jedoch Zugriff auf bestimmte Fotos oder die gesamte Galerie gew\u00e4hrt, st\u00f6bert die Malware in allen verf\u00fcgbaren Fotos nach wertvollen Inhalten.<\/p>\n Doch wie findet man zwischen unz\u00e4hligen Fotos von Katzen und Sonnenunterg\u00e4ngen die gesuchten Krypto-Wallet-Daten? Daf\u00fcr hat der Trojaner ein integriertes Modul zur optischen Zeichenerkennung (OCR). Dieses Modul basiert auf dem Google ML Kit, einer universellen Bibliothek f\u00fcr maschinelles Lernen.<\/p>\n Abh\u00e4ngig von den Spracheinstellungen des Ger\u00e4ts l\u00e4dt SparkCat passende Modelle herunter, die auf die Erkennung der entsprechenden Schrift in Fotos trainiert sind\u00a0\u2013 sei es das lateinische Alphabet, Koreanisch, Chinesisch oder Japanisch. Nachdem der Trojaner den Text auf einem Bild erkannt hat, vergleicht er ihn mit Regeln, die er vom Command-and-Control-Server erh\u00e4lt. Der Filter kann durch verschiedene Muster ausgel\u00f6st werden, nicht nur durch Schlagw\u00f6rter aus der Liste (zum Beispiel \u201eMnemonic\u201c), sondern beispielsweise auch durch sinnlose Buchstabenkombinationen in Backup-Codes oder bestimmte Wortfolgen aus Seed-Phrasen.<\/p>\n Bei unserer Analyse haben wir von den C2-Servern des Trojaners eine Liste mit Schlagw\u00f6rtern angefordert, die zur OCR-Suche dienen. Die Cyberkriminellen interessieren sich offensichtlich f\u00fcr Seed-Phrasen (auch \u201eMnemonics\u201c genannt), mit denen der Zugriff auf Krypto-Wallets wiederhergestellt werden kann<\/p><\/div>\n Alle Fotos mit potenziell wertvollem Text werden vom Trojaner auf die Server der Angreifer hochgeladen. Dazu kommen noch genaue Informationen \u00fcber den erkannten Text und das Ger\u00e4t, von dem das Bild gestohlen wurde.<\/p>\n Wir haben 10 sch\u00e4dliche Apps in Google Play und 11 Apps bei App Store identifiziert. Zum Zeitpunkt der Ver\u00f6ffentlichung waren alle sch\u00e4dlichen Apps aus den Shops entfernt worden. W\u00e4hrend der Analyse lagen die Downloads allein in Google Play bei \u00fcber 242.000. Unsere Telemetriedaten deuten darauf hin, dass diese b\u00f6sartigen Apps auch auf anderen Websites und in inoffiziellen App-Shops verf\u00fcgbar waren.<\/p>\n Sowohl bei Google Play als auch im App Store z\u00e4hlen beliebte Lieferdienste und KI-gest\u00fctzte Messenger zu den infizierten Apps<\/p><\/div>\n Den W\u00f6rterb\u00fcchern von SparkCat zufolge wurde die Malware so \u201etrainiert\u201c, dass sie Daten von Nutzern in vielen europ\u00e4ischen und asiatischen L\u00e4ndern stehlen kann. Es gibt auch Belege daf\u00fcr, dass solche Angriffe sp\u00e4testens seit M\u00e4rz 2024 liefen. Die Autoren dieser Schadsoftware sprechen wahrscheinlich flie\u00dfend Chinesisch. Weitere Infos sowie technische Details zu SparkCat findest du in unserem vollst\u00e4ndigen Bericht auf Securelist<\/a>.<\/p>\n Der uralte Ratschlag \u201eNur hoch bewertete Apps aus offiziellen App-Shops herunterladen!\u201c ist leider kein Allheilmittel mehr. Selbst der App Store wurde mittlerweile von einem echten Info-Stealer infiltriert, und auch bei Google Play gab es schon mehrere \u00e4hnliche Vorf\u00e4lle<\/a>. Darum sind sch\u00e4rfere Kriterien notwendig: Lade nur hoch bewertete Apps herunter, die Tausende oder besser Millionen von Downloads aufweisen und die vor mehreren Monaten ver\u00f6ffentlicht wurden. \u00dcberpr\u00fcfe zus\u00e4tzlich die Links zu offiziellen Quellen (z. B. zur Website des App-Entwicklers), um sicherzustellen, dass es keine F\u00e4lschung ist. Lies die Bewertungen \u2013 insbesondere die negativen. Und nat\u00fcrlich solltest du unbedingt ein umfassendes Sicherheitssystem<\/a>\u00a0auf allen deinen Smartphones und Computern installieren.<\/p>\n Negative Bewertungen f\u00fcr die ComeCome-App im App Store h\u00e4tten Nutzer vom Download abhalten k\u00f6nnen<\/p><\/div>\n Auch bei Berechtigungen f\u00fcr neue Apps ist h\u00f6chste Vorsicht<\/a> angesagt. Fr\u00fcher war dies in erster Linie ein Problem der Barrierefreiheit-Einstellungen (\u201eEingabehilfe\u201c bei Android bzw. \u201eBedienungshilfen\u201c f\u00fcr iPhone). Jetzt zeigt sich jedoch, dass auch Zugriffsberechtigungen f\u00fcr die Galerie zum Diebstahl sensibler Daten f\u00fchren k\u00f6nnen. Wenn du Zweifel hast, ob eine App wirklich legitim ist (zum Beispiel, wenn es keine offizieller Messenger ist, sondern eine modifizierte Version), gew\u00e4hre der App keinen vollst\u00e4ndigen Zugriff auf alle Fotos und Videos. Gegebenenfalls kannst du den Zugriff auf bestimmte Fotos beschr\u00e4nken.<\/p>\n Das Speichern von Dokumenten, Passw\u00f6rtern, Bankdaten oder Fotos von Seed-Phrasen in deiner Smartphone-Galerie ist \u00e4u\u00dferst gef\u00e4hrlich. Es gibt gleich mehrere Risiken: Stealer (wie z. B. SparkCat) k\u00f6nnen zuschlagen, andere Personen k\u00f6nnen einen Blick auf die Fotos werfen, oder du k\u00f6nntest solche Fotos versehentlich in einen Messenger oder Filesharing-Dienst hochladen. Sensible Informationen sollten nur in einer speziellen App gespeichert werden. Mit Kaspersky Password Manager<\/a> kannst du beispielsweise nicht nur Passw\u00f6rter und Zwei-Faktor-Authentifizierungstoken, sondern auch Bankkartendaten und gescannte Dokumente sicher speichern und auf allen deinen Ger\u00e4ten synchronisieren \u2013 und das alles in verschl\u00fcsselter Form. Diese App geh\u00f6rt \u00fcbrigens zu unseren Abonnements Kaspersky Plus<\/a> und Kaspersky Premium<\/a>.<\/p>\n![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/13134815\/ios-android-ocr-stealer-sparkcat-01.png\")
<\/a>KI-gest\u00fctzter Diebstahl<\/h2>\n
![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/13134800\/ios-android-ocr-stealer-sparkcat-02.png\")
<\/a>Ausma\u00df und Betroffene des Angriffs<\/h2>\n
![\"Mit](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/13134750\/ios-android-ocr-stealer-sparkcat-03.png\")
<\/a>So sch\u00fctzt du dich vor OCR-Trojanern<\/h2>\n
![\"Negative](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/13134731\/ios-android-ocr-stealer-sparkcat-04.png\")
<\/a>