SparkCat Malware taucht mit verbesserter Verschleierung und erweitertem Targeting in App Stores wieder auf
Eine neue Iteration der **SparkCat**-Malware wurde über ein Jahr nach ihrer ersten Entdeckung sowohl im **Apple App Store** als auch im **Google Play Store** entdeckt. Diese aktualisierte Version verfügt über verbesserte Verschleierungstechniken und zielt auf Kryptowährungsnutzer ab, insbesondere in Asien.
Cybersicherheitsforscher haben eine neue Variante der **SparkCat**-Malware identifiziert, die sowohl **Android**- als auch **iOS**-Nutzer über die offiziellen App Stores ins Visier nimmt. Die Malware tarnt sich als scheinbar harmlose Anwendungen wie Unternehmens-Messenger und Essenslieferdienste.
### SparkCat: Eine Auffrischung
Die **SparkCat**-Malware scannt heimlich die Fotogalerien der Opfer nach Wiederherstellungsphrasen für Kryptowährungs-Wallets.
**Kaspersky** berichtet, zwei infizierte Anwendungen im **App Store** und eine im **Google Play Store** gefunden zu haben, die hauptsächlich Kryptowährungsnutzer in Asien ins Visier nehmen. Die **iOS**-Variante scannt nach englischen mnemonischen Phrasen, was potenziell eine breitere Nutzerbasis unabhängig von ihrer Region betreffen könnte.
### Verbesserte Verschleierungstechniken
Die aktualisierte **Android**-Version von **SparkCat** integriert mehrere Verschleierungsebenen zur Umgehung von Erkennungsmechanismen. Dazu gehören Code-Virtualisierung und plattformübergreifende Programmiersprachen. Die **Android**-Version zielt speziell auf japanische, koreanische und chinesische Schlüsselwörter ab, was auf einen starken Fokus auf asiatische Nutzer hindeutet.
### OCR und Datenexfiltration
**SparkCat**, erstmals im Februar 2025 von **Kaspersky** dokumentiert, nutzt optische Zeichenerkennung (OCR), um Bilder mit Wiederherstellungsphrasen für Wallets zu extrahieren. Diese Daten werden dann an einen vom Angreifer kontrollierten Server exfiltriert.
Die neuesten Verbesserungen an **SparkCat** zeigen die aktive Weiterentwicklung und technische Raffinesse der Bedrohungsakteure hinter dieser Kampagne. **Kaspersky** schreibt die bösartigen Aktivitäten einem chinesischsprachigen Betreiber zu.
### Expertenanalyse
"Die aktualisierte Variante von SparkCat fordert in bestimmten Szenarien Zugriff an, um Fotos in der Smartphone-Galerie eines Nutzers anzuzeigen – genau wie die allererste Version des Trojaners", sagte **Kaspersky**-Forscher Sergey Puzan. "Sie analysiert den Text in gespeicherten Bildern mithilfe eines OCR-Moduls."
"Wenn der Stealer relevante Schlüsselwörter findet, sendet er das Bild an die Angreifer. Angesichts der Ähnlichkeiten zwischen dem aktuellen Sample und dem vorherigen glauben wir, dass die Entwickler der neuen Malware-Version dieselben sind. Diese Kampagne unterstreicht erneut die Bedeutung der Nutzung von Sicherheitslösungen für Smartphones, um vor einer breiten Palette von Cyberbedrohungen geschützt zu bleiben."