SparkCat ist zurück: Wenn scheinbar harmlose Apps nach Krypto-Seed-Phrases fischen
Die Illusion der Sicherheit in den offiziellen App Stores bekommt einen weiteren Riss: Sicherheitsforscher von Kaspersky haben eine neue Variante der SparkCat-Malware entdeckt, die es geschafft hat, in Apples App Store sowie den Google Play Store zu gelangen. Über ein Jahr nach der ersten Dokumentation des Trojaners zeigt diese Rückkehr ein beunruhigendes Maß an Weiterentwicklung – und eine Verschiebung der Angriffsvektoren, die nun auch Nutzer außerhalb Asiens ins Visier nimmt.
Die Masche: Tarnung durch Alltags-Apps
SparkCat tarnt sich weiterhin in Applikationen, die auf den ersten Blick völlig legitim und alltäglich wirken. Diesmal sind es angebliche Enterprise-Messenger und Food-Delivery-Dienste, die als Trojanisches Pferd dienen. Konkret identifizierte Kaspersky folgende infizierte Apps:
- Android: SafeX (Package:
com.ekhizc.carterocourrier, Version 2.1.0) - iOS: SafeW - 云办公助理 sowie 悟空外卖: 泰国华人生活管家
Besonders die iOS-Apps zielen offensichtlich auf die asiatische Diaspora ab, etwa chinesischsprachige Nutzer in Thailand. Doch die wahre Gefahr liegt im Detail der technischen Implementierung.
OCR als Waffe: Der Blick in deine Galerie
Der Kern von SparkCat ist nicht neu, aber extrem effektiv: Die Malware bittet unter einem vorgetäuschten Vorwand um Zugriff auf die Fotogalerie des Opfers. Sobald dieser erteilt ist, kommt ein Optical Character Recognition (OCR) Modul zum Einsatz. Dieses scannt gespeicherte Bilder systematisch nach sogenannten Recovery Phrases (Mnemonic Phrases) von Krypto-Wallets ab. Findet der Algorithmus passende Keywords, wird das Bild direkt an einen Server der Angreifer exfiltriert. Mit diesen Seed-Phrases können die Angreifer die Wallets komplett leeren.
Der bedenkliche Paradigmenwechsel: Von regional zu global
Bisher galt SparkCat primär als Bedrohung für den asiatischen Raum. Die Android-Variante sucht in der aktuellen Fassung gezielt nach Keywords in japanischer, koreanischer und chinesischer Sprache. Die iOS-Variante geht jedoch einen entscheidenden Schritt weiter: Sie sucht nach englischsprachigen Mnemonic Phrases.
Wie Kaspersky anmerkt, erweitert dies die Reichweite der Malware drastisch. Englischsprachige Seed-Phrases sind der De-facto-Standard in der globalen Krypto-Community. Das bedeutet, dass theoretisch jeder iOS-Nutzer weltweit zum Opfer werden kann, unabhängig von seiner Region. Die Angreifer öffnen sich damit gezielt den internationalen Markt.
Technische Aufrüstung auf Android
Während die iOS-Variante durch ihre globale Ausrichtung glänzt, zeigt die Android-Version eine massive technologische Aufrüstung. Die Entwickler haben mehrere Schichten an Obfuscation eingebaut, um automatisierte Analysen und Sicherheitschecks der App Stores auszutricksen. Dazu gehören:
- Code Virtualization: Der Code wird in eine benutzerdefinierte virtuelle Maschine übersetzt, was das Reverse Engineering extrem erschwert.
- Cross-Platform Programming Languages: Der Einsatz von Sprachen, die plattformübergreifend funktionieren, macht die statische Analyse für herkömmliche Scanner teilweise blind.
Kaspersky hatte die Urheber bereits im Februar 2025 als chinesischsprachige Akteure eingestuft. Die Kontinuität und die deutlichen technischen Verbesserungen deuten darauf hin, dass es sich um dieselbe Gruppe handelt, die ihr Handwerk kontinuierlich professionalisiert.
Einordnung: Das Versagen der Walled Gardens und die menschliche Schwachstelle
Der Vorfall wirft einmal mehr ein kritisches Licht auf die App-Store-Sicherheit. Apples „Walled Garden“ und Googles Play Protect werden oft als zuverlässige Filter beworben. Wenn Malware jedoch Code Virtualization nutzt und sich in alltägliche App-Kategorien wie Food-Delivery tarnt, offenbart das eklatante Lücken in den automatisierten und manuellen Review-Prozessen.
Noch viel grundlegender ist jedoch die menschliche Schwachstelle: Wer seine Krypto-Wallet-Recovery-Phrase als Screenshot auf dem Smartphone speichert, verhält sich fahrlässig. Seed-Phrases sind der Master-Schlüssel zum Vermögen. Sie gehören auf ein Stück Papier in einen physischen Tresor oder in dedizierte, offline gearbeitete Hardware-Wallets – niemals in die digitale Fotogalerie eines Geräts, das ständigen Netzwerkverbindungen ausgesetzt ist.
Wie Kaspersky-Forscher Sergey Puzan betont, unterstreicht der Fall die Notwendigkeit von Sicherheitslösungen auf dem Smartphone, da die Malware sich bei Berechtigungen wie dem Galerie-Zugriff oft hinter legitimen App-Funktionen versteckt. Dennoch bleibt die wichtigste Verteidigungslinie das eigene Verhalten: Keine Seeds fotografieren, keine verdächtigen Apps unnötige Rechte erteilen und immer kritisch hinterfragen, warum ein Essenslieferant Zugriff auf die eigene Bildergalerie benötigt.
Quelle: The Hacker News
