Ein hochentwickelter Trojaner umgeht Apples und Googles Sicherheitsmaßnahmen, um Kryptowährungs-Seed-Phrasen von Fotos auf Mobilgeräten zu ernten, was eine wesentliche Eskalation in Kryptoziel-Angriffen darstellt.
Cybersicherheitsforscher bei Kaspersky haben eine ausgeklügelte neue Mobil-Malware-Kampagne entdeckt namens "SparkKitty", die es erfolgreich geschafft hat, sowohl Apples App Store als auch den Google Play Store zu infiltrieren, wodurch über 5.000 Kryptowährungsnutzer in China und Südostasien kompromittiert wurden.
Die Malware konzentriert sich darauf, Screenshots von Wallet-Seed-Phrasen zu stehlen, die in Mobiltelefon-Galerien gespeichert sind, was eine bedeutende Weiterentwicklung in Kryptoziel-Angriffen darstellt, die grundlegende Sicherheitslücken bei mobilen Geräten ausnutzt.
Die Malware ist laut dem neuesten Sicherheitsbericht von Kaspersky, der diese Woche veröffentlicht wurde, seit mindestens Anfang 2024 aktiv. Im Gegensatz zu herkömmlichen Malware-Vertriebsarten erzielte SparkKitty bemerkenswerten Erfolg, indem es sich in scheinbar legitimen Anwendungen auf beiden großen mobilen Plattformen eingebettet hat, einschließlich Krypto-Preistracking-Tools, Glücksspielanwendungen und modifizierten Versionen beliebter Social-Media-Apps wie TikTok.
Der besorgniserregendste Aspekt dieser Kampagne ist die erfolgreiche Umgehung des strengen Überprüfungsprozesses von Apples App Store und des Google Play Protect-Sicherheitssystems. Eine kompromittierte Messenger-Anwendung, SOEX, erzielte über 10.000 Downloads, bevor sie entdeckt und entfernt wurde, was die Fähigkeit der Malware demonstriert, über längere Zeiträume hinweg unentdeckt in offiziellen App-Ökosystemen zu operieren.
Fortgeschrittene Datenerntemethodik
SparkKitty stellt eine bedeutende technische Verbesserung gegenüber seinem Vorgänger, SparkCat, dar, das erstmals im Januar 2025 identifiziert wurde. Im Gegensatz zu herkömmlichen Malware, die gezielt sensible Daten angreift, stiehlt SparkKitty wahllos alle Bilder von infizierten Geräten, wodurch umfangreiche Datenbanken von Benutzerfotos erstellt werden, die anschließend zur Analyse auf entfernte Server hochgeladen werden.
Die Malware arbeitet über einen ausgeklügelten mehrstufigen Prozess. Nach der Installation über irreführende Bereitstellungsprofile fordert SparkKitty standardmäßige Zugriffsberechtigungen für die Fotogalerie an - eine Anfrage, die den meisten Benutzern routinemäßig erscheint. Sobald der Zugriff gewährt ist, überwacht der Trojaner kontinuierlich die Fotobibliothek des Geräts auf Änderungen, erstellt lokale Datenbanken erfasster Bilder, bevor sie an von Angreifern kontrollierte Server übertragen werden.
Die Kaspersky-Forscher betonen, dass das primäre Ziel der Angreifer darin zu bestehen scheint, Kryptowährungs-Wallet-Seed-Phrasen aus in Screenshots gespeicherten Daten auf infizierten Geräten zu identifizieren und zu extrahieren. Diese 12-24 Wörter umfassenden Wiederherstellungssätze bieten vollständigen Zugriff auf die digitalen Vermögenswerte der Benutzer, was sie zu äußerst wertvollen Zielen für Cyberkriminelle macht.
Das Aufkommen von SparkKitty erfolgt vor dem Hintergrund eskalierender kryptowährungsfokussierter Cyberkriminalität. Laut der Analyse von TRM Labs für 2024 wurden fast 70 % der 2,2 Milliarden Dollar an gestohlenen Kryptowährungen durch Infrastrukturangriffe verursacht, insbesondere diejenigen, die den Diebstahl von privaten Schlüsseln und Seed-Phrasen betrafen. Allein im Januar 2025 verloren 9.220 Opfer 10,25 Millionen Dollar an Kryptowährungs-Phishing-Betrügereien, was die anhaltende und sich wandelnde Natur von Kryptoziel-Bedrohungen unterstreicht.
Der derzeitige geografische Fokus der Malware auf China und Südostasien spiegelt breitere Trends bei der Einführung von Kryptowährungen und dem Ziel von Cyberkriminellen wider. Sicherheitsexperten warnen jedoch davor, dass die technischen Fähigkeiten von SparkKitty und die nachgewiesene Wirksamkeit eine globale Ausweitung sehr wahrscheinlich machen. Die Fähigkeit der Malware, offizielle App-Stores zu infiltrieren, deutet darauf hin, dass kein mobiles Ökosystem gegen ausgeklügelte Kryptoziel-Angriffe immun ist.
Technische Entwicklung und Zuordnung
Forensische Analysen decken signifikante Verbindungen zwischen SparkKitty und der früheren SparkCat-Malware-Kampagne auf. Beide Trojaner teilen Debug-Symbole, Konstruktionsmuster für Code und mehrere kompromittierte Vector-Anwendungen, was auf eine koordinierte Entwicklung durch dieselben Bedrohungsakteure hindeutet. SparkKitty zeigt jedoch bemerkenswerte technische Verfeinerungen, einschließlich verbesserter Datensammlungskapazitäten und verbesserter Umgehungstechniken.
SparkCat zielte speziell auf die Wiederherstellungsphrasen von Kryptowährungs-Wallets ab, indem optische Zeichenerkennungstechnologie eingesetzt wurde, um diese Phrasen aus Bildern zu extrahieren, während SparkKitty einen breiteren Ansatz verfolgt, indem alle verfügbaren Bilddaten zur späteren Verarbeitung gesammelt werden. Diese Entwicklung deutet darauf hin, dass Angreifer ihre Operationen optimieren, um maximale Datenerfassungseffizienz zu erzielen, während sie die On-Device-Verarbeitung reduzieren, die möglicherweise Sicherheitswarnungen auslösen könnte.
Die SparkKitty-Kampagne legt grundlegende Sicherheitslücken in mobilen Kryptowährungspraktiken offen. Viele Benutzer speichern routinemäßig deren Seed-Phrasen aus Bequemlichkeitsgründen und erstellen digitale Kopien, die zu einem Hauptziel für Malware wie SparkKitty werden. Diese Praxis, die aus der Perspektive der Benutzererfahrung verständlich ist, schafft kritische Sicherheitslücken, die zunehmend von ausgeklügelten Angreifern ausgenutzt werden.
Forscher betonen, dass die Bedrohung über einzelne Benutzer hinausgeht und sich auch auf das breitere Kryptowährungs-Ökosystem erstreckt. Täglich werden 560.000 neue Malware erkannt, wobei mobile Plattformen angesichts der zunehmend beschleunigten Einführung von Kryptowährungen weltweit attraktive Ziele werden.
Das Eindringen der Malware in die Sicherheitsmaßnahmen des App-Stores wirft auch Fragen nach der Wirksamkeit der aktuellen mobilen Sicherheitsrahmen auf. Sowohl Apple als auch Google haben ausgeklügelte Überprüfungsprozesse implementiert, um zu verhindern, dass bösartige Anwendungen zu den Benutzern gelangen. Dennoch demonstriert die erfolgreiche Infiltration von SparkKitty, dass entschlossene Angreifer weiterhin diese Schutzmaßnahmen umgehen können.
Branchenreaktion und Abwehrmaßnahmen
Nach Kasperskys Offenlegung haben sowohl Apple als auch Google mit der Entfernung von identifizierten SparkKitty-infizierten Anwendungen begonnen. Die dynamische Natur der Bedrohung bedeutet jedoch, dass weiterhin neue Varianten auftauchen können, die sowohl von Sicherheitsforschern als auch von App-Store-Betreibern ständige Wachsamkeit erfordern.
Kryptowährungssicherheitsexperten empfehlen sofortige Abwehrmaßnahmen für mobile Wallet-Benutzer. Primäre Empfehlungen umfassen die Vermeidung der digitalen Speicherung von Seed-Phrasen vollständig, die Nutzung von Hardware-Wallets für bedeutende Bestände und die Implementierung einer rigorosen App-Berechtigungsprüfung. Benutzern wird geraten, bestehende Fotogalerien auf gespeicherte Wallet-Anmeldedaten zu überprüfen und solche Bilder sofort zu löschen.
Der Vorfall hat auch erneute Diskussionen über die Sicherheitsstandards für mobile Kryptowährungen ausgelöst. Branchenführer fordern verbesserte Sicherheitsanforderungen für kryptobezogene mobile Anwendungen, einschließlich obligatorischer Sicherheitsüberprüfungen und strengerer Berechtigungsmodelle für Anwendungen, die mit sensiblen Finanzdaten umgehen.
Obwohl sich SparkKitty derzeit auf asiatische Märkte konzentriert, warnen Cyber-Sicherheitsexperten, dass eine globale Ausweitung unvermeidlich erscheint. Die nachgewiesene Wirksamkeit der Malware und der universelle Charakter der mobilen Nutzung von Kryptowährungen lassen vermuten, dass westliche Märkte bald mit ähnlichen Bedrohungen konfrontiert werden könnten. Bis 2025 könnten Cyberkriminalitätskosten
- einschließlich malwaregetriebener Angriffe - die globale Wirtschaft jährlich mit 10,5 Billionen Dollar belasten, wobei kryptowährungszielende Malware einen wachsenden Bestandteil dieser Bedrohungslandschaft darstellt.
Die ausgeklügelte Art der Infiltrationsfähigkeiten von SparkKitty in den App-Store deutet darauf hin, dass ähnliche Kampagnen bereits in anderen Regionen im Gange sein könnten. Forscher fordern verstärkte internationale Zusammenarbeit im Kampf gegen mobile Kryptowährungsmalware, einschließlich verbesserter Informationsaustausch zwischen App-Store-Betreibern und Cybersicherheitsorganisationen.
Zukünftige Bedrohungsbewertung
Die SparkKitty-Kampagne stellt eine erhebliche Eskalation der mobilen Kryptowährungsbedrohungen dar, indem sie hochentwickelte technische Fähigkeiten mit bewährten Verbreitungsmechanismen kombiniert. Da die Einführung von Kryptowährungen weltweit weiter zunimmt, werden ähnliche Bedrohungen wahrscheinlich sowohl in Häufigkeit als auch in Raffinesse zunehmen.
Sicherheitsexperten sagen voraus, dass zukünftige Iterationen von kryptozielender Malware wahrscheinlich zusätzliche Umgehungstechniken enthalten werden, einschließlich verbesserter Methoden zur Umgehung von App-Stores und ausgeklügelterer Fähigkeiten zum Datenabfluss. Der Erfolg des Fotoharvestings-Ansatzes von SparkKitty könnte zusätzliche Malware-Familien inspirieren, ähnliche Methoden anzunehmen, wodurch eine eskalierende Bedrohungsumgebung für mobile Kryptowährungsnutzer entsteht.
Der Vorfall unterstreicht die kritische Bedeutung robuster mobiler Sicherheitspraktiken für Kryptohalter. Da die Werte digitaler Vermögenswerte weiter steigen und die Einführung zunimmt, stellen mobile Geräte zunehmend attraktive Ziele für ausgeklügelte Cyberkriminalitätsorganisationen dar.
Benutzer müssen ihre Sicherheitspraktiken entsprechend anpassen, indem sie die Nutzung von Hardware-Wallets priorisieren und die digitale Speicherung von Seed-Phrasen eliminieren, um ihre Kryptowährungsbestände vor sich entwickelnden mobilen Malware-Bedrohungen zu schützen.