Foto: miss.cabul/Shutterstock
Kaspersky hat neue Malware entdeckt, die Nutzer von mobilen Apps unter iOS und Android angreift. Was macht diese neue Malware und wie schützt du dich davor?
Was macht SparkKitty-Malware?
Forscher von Kaspersky haben die SparkKitty-Spyware bereits im Januar 2025 entdeckt. Diese schädliche Software wird nicht nur über den Google Play Store und den App Store, sondern auch über inoffizielle Quellen verbreitet.
Sie ist der Nachfolger von SparkCat, einer anderen Art von Spyware, die es gezielt auf Krypto-Wallets abgesehen hatte. Auch diese wurde von Kaspersky bereits entdeckt und neutralisiert.
SparkKitty erstellt einen Screenshot deines Geräts, sobald du eine Seed Phrase eingibst, zum Beispiel wenn du eine Wallet einrichtest, bei der du im Besitz der Private Keys bist, wie etwa der Exodus Wallet. Sobald die Malware erkennt, dass du eine Seed Phrase eintippst, nutzt sie optische Erkennungstechnologie und macht eine Bildschirmaufnahme.
Eine Seed Phrase ist eine Abfolge von zwölf oder vierundzwanzig einfachen Wörtern, meistens auf Englisch, die die Software erkennen kann, weil sie keinen sinnvollen Satz bilden. Wenn du zum Beispiel folgende Wörter eingibst: „hand close right move paper rock stone bell jaw win never shoe“, erkennt das Programm dies als mögliche Seed Phrase und erstellt einen Screenshot, auf dem alle Wörter sichtbar sind.
Wie gelangen Angreifer an deine Seed Phrase?
Nutzt du iOS, tarnt SparkKitty die Daten als legitime Bibliotheken oder verwirrt dich mit scheinbar harmlosen Dateien. Über diese Wege gelangen die Bildschirmaufnahmen zu den Angreifern.
Diese Spyware kann auch als Bewerbungsformular daherkommen, in das du alle möglichen Informationen eingeben sollst, die von nordkoreanischen Hackern zusammengestellt wurden. Irgendwann wirst du gebeten, Nvidia-Software zu installieren, und dann beginnt ihr schädliches Vorgehen.
Bei der Nutzung von Android versucht diese Spyware, alle Bilder auf deinem Smartphone zu stehlen. Es gibt jedoch auch noch intelligentere Varianten, die auf optische Zeichenerkennung von Zahlen, Buchstaben und Symbolen setzen, die sensible Informationen wie eine Seed Phrase, deine Ausweisdaten oder andere wichtige persönliche Daten enthalten.
SparkKitty ist deutlich gefährlicher als SparkCat, denn es können nicht nur deine Seed Phrase, sondern auch andere sensible finanzielle und persönliche Informationen erbeutet werden. Achte deshalb besonders darauf, ob Angreifer eventuell mit deinen Bildern aus der „Galerie“ auf deinem Handy gezielt einen Angriff auf deine Krypto starten und sie stehlen können.
Wie landet die Software auf deinem Handy?
Betrüger stehlen Firmenzertifikate, sodass schädliche Apps ohne Zustimmung des App Store installiert werden können. Dies ist bereits eine gängige Masche, zum Beispiel bei illegalen Online-Casinos oder nicht autorisierten Softwaremodifikationen.
Es gibt eine App im Google Play Store, die bereits mehr als zehntausendmal heruntergeladen wurde, bei der es so wirkt, als befindest du dich in einer offiziellen Krypto-Börsen-Umgebung. Diese App wurde mittlerweile entfernt, ist jedoch noch auf vielen Handys installiert.
Außerdem existieren Webanwendungen, die über Betrügerplattformen Ponzi-Systeme auf beliebten Social-Media-Plattformen anpreisen. Wenn du darauf klickst, wirst du aufgefordert, bestimmte Software herunterzuladen. Wenn du zustimmst, hast du ein Programm auf deinem Handy, das JPEG- und PNG-Bilder scannen und Screenshots mit erkannten Texten finden kann. Diese werden dann direkt an die Angreifer übermittelt.
