Kaspersky Labs heeft een geavanceerde malwarecampagne geïdentificeerd die zich richt op cryptocurrency-gebruikers via kwaadaardige softwareontwikkelingskits die zijn ingebed in mobiele apps beschikbaar op Google Play en de Apple App Store. De malware, genaamd "SparkCat", maakt gebruik van optische tekenherkenning om de foto's van gebruikers te scannen op herstelwoorden voor cryptocurrency-portefeuilles, die hackers vervolgens gebruiken om toegang te krijgen tot en de getroffen portefeuilles te legen.
In een uitgebreid rapport van 4 februari 2025, legden Kaspersky-onderzoekers Sergey Puzan en Dmitry Kalinin uit hoe de SparkCat malware apparaten binnendringt en door afbeeldingen speurt naar herstelwoorden via meertalige zoekwoordenherkenning. Zodra deze woorden zijn verkregen, krijgen aanvallers onbeperkte toegang tot de cryptowallets van slachtoffers. De hackers krijgen daarmee volledige controle over de fondsen, zoals benadrukt door de onderzoekers.
Bovendien is de malware ontworpen om extra gevoelige informatie te stelen, zoals wachtwoorden en privéberichten vastgelegd in screenshots. Specifiek op Android-apparaten doet SparkCat zich voor als een op Java gebaseerd analysemodule genaamd Spark. De malware ontvangt operationele updates van een versleuteld configuratiebestand op GitLab en gebruikt Google's ML Kit OCR om tekst uit afbeeldingen te extraheren op geïnfecteerde apparaten. Detectie van een herstelwoord resulteert in het terugzenden van de informatie naar aanvallers, waardoor ze de crypto-portefeuille van het slachtoffer op hun eigen apparaten kunnen importeren.
Kaspersky schat dat sinds zijn opkomst in maart 2023, SparkCat ongeveer 242.000 keer is gedownload, met name gebruikers in Europa en Azië getroffen.
In een afzonderlijk maar gerelateerd rapport van midden 2024, heeft Kaspersky een andere Android-malwarecampagne gevolgd waarbij bedrieglijke APK's zoals Tria Stealer betrokken zijn, die SMS-berichten onderscheppen en oproeplogboeken, evenals Gmail-gegevens, stelen.
De aanwezigheid van deze malware strekt zich uit over tal van apps, sommige schijnbaar legitiem zoals maaltijddiensten, en andere ontworpen om argeloze gebruikers aan te trekken, zoals AI-gestuurde berichtenapps. Gemeenschappelijke kenmerken onder deze geïnfecteerde apps zijn het gebruik van de Rust programmeertaal, cross-platform capaciteiten, en geavanceerde obfuscatiemethoden om detectie te ontwijken.
De herkomst van SparkCat blijft onduidelijk. De onderzoekers hebben de malware niet toegeschreven aan een bekende hackergroep, maar hebben Chinese spraakopmerkingen en foutmeldingen binnen de code genoteerd, wat wijst op kennis van het Chinees door de ontwikkelaar. Hoewel het gelijkenissen vertoont met een campagne die werd onthuld door ESET in maart 2023, blijft de exacte bron onbekend.
Kaspersky adviseert gebruikers met klem om gevoelige informatie zoals herstelwoorden voor crypto-portefeuilles niet op te slaan in hun fotogalerijen. In plaats daarvan raden ze aan wachtwoordmanagers te gebruiken en regelmatig te scannen en verdachte applicaties te elimineren.
De bevindingen werden oorspronkelijk gerapporteerd op 99Bitcoins in het artikel getiteld "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."