Kaspersky warnt vor einer neuen mobilen Malware, die iOS- und Android-Geräte ins Visier nimmt und über deren offizielle App-Marktplätze verteilt wird: Apple App Store und Google Play Store. Die Schadsoftware hat es auf die Kryptowährungen ihrer Opfer abgesehen.
Unter iOS verpacken die Hintermänner den Schadcode in ein Framework wie AFNetworking.framework oder Alamofire.framework, oder sie tarnen ihn als Bibliothek wie libswiftDarwin.dylib. Die Froscher fanden aber auch Varianten, bei den den Schadcode direkt in eine App integriert war. Die Android-Variante wiederum nutzt Java oder Kotlin. Im Fall von Kotlin soll es sich um ein schädliches Xposed-Modul handeln.
Die zugehörige Kampagne soll mindestens seit Februar 2024 aktiv sein. Kaspersky geht zudem davon aus, dass SparkKitty in einer direkten Beziehung zur Spyware SkarkCat steht. Beide Malware-Familien sind in der Lage, Bilder auszuspähen und per OCR deren Textinhalte zu erfassen. Vor allem sollen die Cyberkriminellen versuchen, die Wiederherstellungsschlüssel zu Kryptowährungsbörsen auszuspähen.
Verbreitet wurde SparkKitty unter anderem über modifizierte TikTok-Apps. Im App Store sowie im Play Store fanden sich zudem gefälschte Kryptowährungs-Apps, die SparkKitty enthielten. Kaspersky zufolge wurde die SOEX genannte Android-App inzwischen aus dem Play Store entfernt. Damit die schädlichen Apps die Fotos eines Nutzers auslesen können, fragen sie die Berechtigung für den Zugriff auf die Galerie beziehungsweise den Massenspeicher ab. Wird die Berechtigung erteilt, lädt SparkKitty alle Fotos auf einen Server der Cyberkriminellen hoch. Einige Varianten von SparkKitty nutzen unter Android jedoch das Google ML Kit OCR, um ausschließlich Bilder auszuwählen, die Text enthalten.
„Bedrohungsakteure greifen nach wie vor aktiv die offiziellen App-Stores an, und zwar nicht nur für Android – auch iOS ist ein Ziel“, teilte Kaspersky mit. „Die von uns aufgedeckte Spionagekampagne nutzt verschiedene Verbreitungsmethoden: Sie verbreitet sich über Apps, die mit bösartigen Frameworks/SDKs aus inoffiziellen Quellen infiziert sind, sowie über bösartige Apps direkt im App Store und bei Google Play.“
Neueste Kommentare
Noch keine Kommentare zu SparkKitty: Malware in Google Play Store und Apple App Store entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.