Fachleute von Kaspersky haben eine neue Art von Trojaner identifiziert, der sich in Apps im AppStore und Google Play versteckt und mindestens seit März 2024 aktiv ist. Diese Schadsoftware, genannt „SparkCat“, zielt darauf ab, Passwörter und Wiederherstellungsphrasen für Krypto-Wallets zu stehlen. Dabei nutzt sie optische Zeichenerkennung (OCR), um diese Informationen aus Screenshots der Benutzer zu extrahieren.

Die Malware ist unter anderem in Messenger-Apps wie WeTink und KI-Anwendungen wie AnyGPT oder ChatAI verborgen. Allein über Google Play wurde sie bereits über 242.000 Mal heruntergeladen. Betroffen sind Nutzer in Europa, Asien und den Vereinigten Arabischen Emiraten. Kaspersky hat die Funde bereits an Google und Apple gemeldet.

Sergey Puzan, Malware-Analyst bei Kaspersky, kommentiert:

„Dies ist der erste bekannte Fall eines OCR-basierten Trojaners, der sich in den AppStore eingeschlichen hat. Sowohl im Hinblick auf den AppStore als auch auf Google Play ist derzeit unklar, ob Anwendungen in diesen Stores durch einen Supply-Chain-Angriff oder auf andere Weise kompromittiert wurden. Einige Apps, wie Lieferdienste für Lebensmittel, wirken legitim, während andere eindeutig lediglich als Köder dienen.“

Nach der Installation verlangt die Schadsoftware häufig Zugriff auf die Fotos in der Galerie des Smartphones eines Nutzers. Anschließend verwendet sie ein OCR-Modul, um den Text in den gespeicherten Bildern zu analysieren und sendet Fotos an die Angreifer, sobald relevante Schlüsselwörter identifiziert wurden. Besonders attraktiv für Hacker sind dabei die Recovery-Phrasen für Kryptowährungs-Wallets. Mit diesen Informationen können die Angreifer die vollständige Kontrolle über die Wallet des Opfers erlangen und Gelder entwenden.