{"id":32357,"date":"2025-06-27T12:34:09","date_gmt":"2025-06-27T10:34:09","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32357"},"modified":"2025-06-27T12:34:09","modified_gmt":"2025-06-27T10:34:09","slug":"ios-android-stealer-sparkkitty","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ios-android-stealer-sparkkitty\/32357\/","title":{"rendered":"SparkKitty \u2013 neuer Trojaner bedroht nicht nur Katzenfotos"},"content":{"rendered":"

Deine Fotos sind der Schl\u00fcssel zu deinem Privatleben\u00a0\u2013 im wahrsten Sinne des Wortes. Deine Galerie enth\u00e4lt Zukunftspl\u00e4ne, Finanzgeheimnisse, Katzenbilder und vielleicht sogar Dinge, die du unbedingt f\u00fcr dich behalten willst. Aber wie steht es um die Sicherheit dieser Bilder? Falls du schon von dem plattform\u00fcbergreifenden Stealer \u201eSparkCat\u201c<\/a> geh\u00f6rt hast, denkst du vielleicht \u00f6fter dar\u00fcber nach.<\/p>\n

Jetzt haben wir den kleinen Bruder des SparkCat-Trojaners entdeckt, den wir liebevoll \u201eSparkKitty\u201c getauft haben. Der niedliche Name k\u00f6nnte aber t\u00e4uschen: Es verbirgt sich n\u00e4mlich ein Spion dahinter, der Fotos von den Smartphones seiner Opfer stehlen kann, genau wie sein gro\u00dfer Bruder. Was macht diese Bedrohung so einzigartig? Und warum sollten sowohl Android- als auch iPhone-Nutzer auf der Hut sein?<\/p>\n

Wie SparkKitty auf Ger\u00e4te gelangt<\/h2>\n

Der Dieb verbreitet sich auf zwei Arten: 1. in freier Wildbahn, d.\u00a0h. \u00fcber die unergr\u00fcndlichen Weiten des Internets, und 2. \u00fcber offizielle App-Stores, z.\u00a0B. bei App Store und Google Play. Aber immer sch\u00f6n der Reihe nach.<\/p>\n

Offizielle App-Stores<\/h3>\n

Im App Store von Apple lauerte die diebische Malware in der App \u5e01<\/strong>coin<\/strong>, die zum Tracking von Kryptow\u00e4hrungskursen und Handelssignalen dient. Wir wissen nicht genau, wie die verd\u00e4chtige Spionagefunktion in die App gelangt ist. M\u00f6glicherweise wurde die Lieferkette kompromittiert<\/a>, und die Entwickler wussten vor unserer Warnung \u00fcberhaupt nichts von SparkKitty. Eine zweite M\u00f6glichkeit w\u00e4re: Die Entwickler haben den Stealer bewusst in die App eingebaut. Jedenfalls ist es schon das zweite Mal, dass sich ein Trojaner in den App Store einschleicht und wir Apple dar\u00fcber informiert haben. Der erste Fall war SparkCat<\/a>.<\/p>\n

\"Infizierte<\/a>

Infizierte App im App Store<\/p><\/div>\n

Bei Google Play liegt die Sache etwas anders: Dort tauchen regelm\u00e4\u00dfig b\u00f6sartige Apps auf, und wir berichten bei Kaspersky Daily h\u00e4ufig \u00fcber diese Bedrohungen<\/a>. Diesmal haben wir b\u00f6sartige Aktivit\u00e4ten in einer Messaging-App aufgesp\u00fcrt, die Funktionen f\u00fcr den Kryptohandel enth\u00e4lt. Die beliebte App wurde \u00fcber 10.000 Mal installiert und war zum Zeitpunkt unserer Studie bereits aus Google Play entfernt.<\/p>\n

Verd\u00e4chtige Links in freier Wildbahn<\/h3>\n

Die Angreifer waren dieses Mal ziemlich kreativ, um die Malware in freier Wildbahn zu verbreiten. Bei einer routinem\u00e4\u00dfigen \u00dcberpr\u00fcfung verd\u00e4chtiger Links fielen unseren Experten mehrere \u00e4hnliche Seiten auf, die einen TikTok-Mod f\u00fcr Android anboten. Wir checken solche Links, damit sie dich nicht gef\u00e4hrden! Dieser Mod rief sehr h\u00e4ufig zus\u00e4tzlichen Code auf. Das kam uns verd\u00e4chtig vor. Und tats\u00e4chlich war etwas faul an der Sache. Der Code enthielt Links, die in der App als Schaltfl\u00e4chen angezeigt wurden. Diese Links f\u00fchrten die Nutzer zu \u201eTikToki Mall\u201c, einem wahren Online-Gemischtwarenladen. Leider konnten wir nicht feststellen, ob es ein funktionierender Shop oder nur eine riesige Falle war. Interessant ist aber: TikToki Mall akzeptiert Zahlungen in Kryptow\u00e4hrung und man ben\u00f6tigt einen Einladungscode, um sich einzuloggen und f\u00fcr K\u00e4ufe zu bezahlen. Bis dahin gab es noch keine Hinweise auf weitere dubiose Aktivit\u00e4ten und wir hatten auch keine Spuren von SparkKitty oder anderer Malware gefunden.<\/p>\n

Also schlugen wir einen anderen Weg ein und probierten die verd\u00e4chtigen Links auf einem iPhone aus. Dadurch gelangten wir auf eine Seite, die vage \u00c4hnlichkeit mit dem App Store hatte und uns sofort die \u201eTikTok app\u201c zum Download anbot.<\/p>\n

iOS untersagt es Nutzern, Programme aus Drittanbieterquellen herunterzuladen und auszuf\u00fchren. Allerdings bietet Apple allen Mitgliedern des \u201eApple Developer Program\u201c sogenannte Bereitstellungsprofile an. Damit k\u00f6nnen benutzerdefinierte Apps, die nicht im App Store verf\u00fcgbar sind, auf Benutzerger\u00e4ten installiert werden. Beispielsweise Beta-Versionen oder Apps, die f\u00fcr den internen Gebrauch in Unternehmen entwickelt wurden. Angreifer nutzen diese Profile, um mit Malware versehene Apps zu verbreiten.<\/em><\/p><\/blockquote>\n

Die Installation unterschied sich nur geringf\u00fcgig vom \u00fcblichen Vorgehen. Normalerweise muss man im App Store nur einmal auf Installieren<\/strong> tippen. Bei der Installation der gef\u00e4lschten TikTok-App waren jedoch extra Schritte notwendig: der Download und die Installation eines Bereitstellungsprofils f\u00fcr Entwickler.<\/p>\n

\"App-Installation<\/a>

App-Installation aus einer unbekannten Quelle auf einem iPhone<\/p><\/div>\n

Nat\u00fcrlich gab es in dieser TikTok-Version keine am\u00fcsanten Videos. Es war nur ein weiterer Shop, \u00e4hnlich wie jener f\u00fcr die Android-Version. Die scheinbar harmlose iOS-Version fragte bei jedem Start nach Zugriff auf die Galerie des Nutzers\u00a0\u2013 und das war der springende Punkt. Wir entdeckten ein b\u00f6sartiges Modul, das nicht nur Bilder aus der Galerie des infizierten Telefons an die Angreifer sendete, sondern auch Ger\u00e4teinformationen. Spuren dieses Moduls fanden wir auch in anderen Android-Apps. Technische Details zu dieser Geschichte findest du in unserem vollst\u00e4ndigen Bericht bei Securelist<\/a>.<\/p>\n

Wer ist bedroht?<\/h2>\n

Unsere Daten zeigen, dass es diese Kampagne haupts\u00e4chlich auf Nutzer in S\u00fcdostasien und China abgesehen hat. Die spitzigen Krallen von SparkKitty k\u00f6nnen aber auch bis in andere L\u00e4nder reichen. Die Malware wird schon seit Anfang 2024 verbreitet. In diesen anderthalb Jahren haben die Angreifer sicher daran gedacht, den Angriff auf andere L\u00e4nder und Kontinente auszuweiten. Und davon kann sie nichts abhalten. TikTok-Mods sind jedoch nicht der einzige Anlass zur Sorge. Wir haben auch b\u00f6sartige Aktivit\u00e4ten in verschiedenen Gl\u00fccksspielen, in Games f\u00fcr 18+ und sogar in Krypto-Apps gefunden.<\/p>\n

Vielleicht glaubst du, dass dieser St\u00f6renfried nur auf deine Urlaubsfotos scharf ist. Leider nein! SparkKitty l\u00e4dt absolut alle Fotos auf seinen Command-and-Control-Server hoch. Darunter k\u00f6nnen auch Screenshots von vertraulichen Informationen sein. Beispielsweise Seed-Phrasen von Krypto-Wallets, mit denen Kriminelle dein Kryptoguthaben wegschnappen k\u00f6nnen.<\/p>\n

So sch\u00fctzt du dich vor SparkKitty<\/h2>\n

Der Trojaner verbreitet sich auf viele Arten, und es ist etwas knifflig, alle m\u00f6glichen Einfallstore abzusichern. \u201eApps nur aus offiziellen Quellen herunterladen!\u201c\u00a0\u2013 diese goldene Regel gilt nach wie vor. Aber wir haben Spuren dieses Diebes sowohl bei Google Play als auch im App Store gefunden\u00a0\u2013 an Orten, an denen Apps angeblich \u00fcberpr\u00fcft und zu 100\u00a0% sicher sind. Was ist da zu tun?<\/p>\n

Unser Rat: Konzentriere dich auf den Schutz deiner Galerie. Am sichersten w\u00e4re es nat\u00fcrlich, keine Fotos oder Screenshots von vertraulichen Informationen zu machen. Leider ist das heutzutage praktisch unm\u00f6glich. Aber es gibt eine L\u00f6sung: Speichere wertvolle Fotos in einem sicheren Datentresor<\/a>. Wichtige Fotos, die in Kaspersky Password Manager<\/a>\u00a0gespeichert sind, k\u00f6nnen erst nach der Eingabe des Master-Passworts betrachtet und versendet werden. Und dieses Passwort kennst nur du<\/a>. Au\u00dferdem stehen die gesch\u00fctzten Inhalte nicht nur auf einem Ger\u00e4t zur Verf\u00fcgung. Unser Password Manager kann Informationen zwischen deinen Smartphones und Computern synchronisieren. Dazu geh\u00f6ren Bankkartendaten, Token f\u00fcr den Zwei-Faktor-Authentifikator und alle \u00fcbrigen Dinge, die du in Kaspersky Password Manager<\/a>\u00a0speicherst, nat\u00fcrlich auch deine Fotos.<\/p>\n

Noch ein wichtiger Tipp: \u00dcberpr\u00fcfe m\u00f6glichst sofort, ob es auf deinem Smartphone eine der infizierten Apps gibt, die wir entdeckt haben. Eine ausf\u00fchrliche Liste findest du auf Securelist<\/a>. F\u00fcr Android-Ger\u00e4te kann Kaspersky f\u00fcr Android<\/a> das f\u00fcr dich \u00fcbernehmen. Unsere App findet und entfernt Malware zuverl\u00e4ssig. Auf iPhones kann unsere Sicherheitsl\u00f6sung<\/a>\u00a0nicht nach bereits installierten infizierten Apps suchen und diese nicht l\u00f6schen. Der Grund ist die geschlossene Architektur von iOS. Unsere App verhindert aber alle Versuche, Daten an die Server von Angreifern zu senden, und warnt dich davor.<\/p>\n

Mit einem Abonnement f\u00fcr Kaspersky Premium<\/a> oder Kaspersky Plus<\/a> enth\u00e4lt deine Sicherheitsl\u00f6sung auch Kaspersky Password Manager<\/a>.<\/p>\n

Folge unserem Telegram-Kanal<\/a>! Dort erf\u00e4hrst du nicht nur, wie du deine Fotos sicher aufbewahrst, sondern bleibst auch auf dem Laufenden \u00fcber die neuesten Cyberbedrohungen.<\/p>\n

Die folgenden Artikel erz\u00e4hlen mehr \u00fcber andere Malware, vor der du dein Smartphone sch\u00fctzen solltest:<\/p>\n