Cybersecurity-Experten haben eine neue mobile Malware-Kampagne identifiziert, die gezielt Besitzer von Kryptowährungen ins Visier nimmt. Der SparkKitty Trojaner infiltriert sowohl iOS- als auch Android-Geräte durch geschickt getarnte Anwendungen, die über offizielle App Stores und betrügerische Websites verbreitet werden. Die Schadsoftware stellt eine erhebliche Bedrohung für digitale Vermögenswerte dar und demonstriert die zunehmende Raffinesse moderner Cyberkrimineller.
Verbreitungsstrategie und Zielgruppen der Malware
Die Angreifer nutzen einen Multi-Vektor-Ansatz zur Maximierung ihrer Reichweite. In offiziellen App Stores tarnt sich SparkKitty als legitime Kryptowährungsanwendungen, einschließlich Kurstracker und Trading-Signal-Apps. Besonders besorgniserregend sind manipulierte Versionen der beliebten TikTok-App, die über gefälschte Websites verbreitet werden, welche offizielle App Stores imitieren.
Obwohl sich die Kampagne primär auf Südostasien und China konzentriert, wurden auch russischsprachige Nutzer gezielt angesprochen. Die Cyberkriminellen bewerben ihre schädlichen Apps aktiv über soziale Medien und YouTube-Kanäle, wobei sie potenzielle Opfer mit Versprechungen hoher Kryptowährungsrenditen ködern.
Technische Implementierung auf verschiedenen Plattformen
iOS-spezifische Angriffsvektoren
Auf iOS-Geräten integrieren die Angreifer ihren Schadcode durch obfuskierte Frameworks, die sich als legitime Komponenten wie AFNetworking.framework oder Alamofire.framework ausgeben. Zur Umgehung von Apples Sicherheitsmechanismen missbrauchen sie Enterprise Provisioning-Profile, die eigentlich für die Verteilung von Unternehmensanwendungen vorgesehen sind.
Diese Methode ermöglicht die Installation nicht autorisierter Apps auf iPhones ohne Jailbreak, indem Entwicklerzertifikate aus Apples Developer-Programm ausgenutzt werden. Trotz kostenpflichtiger Teilnahme und Verifizierungsverfahren gelingt es Kriminellen regelmäßig, diese Schwachstelle zu missbrauchen.
Android-Varianten und Implementierung
Die Android-Version existiert in zwei Varianten: einer Java-basierten und einer Kotlin-basierten Implementierung. Die Kotlin-Version fungiert als bösartiger Xposed-Modul, was eine tiefere Systemintegration ermöglicht. Eine der infizierten Anwendungen – ein Messenger mit Kryptowährungsaustausch-Funktionen – wurde bereits über 10.000 Mal aus Google Play heruntergeladen.
Datendiebstahl und Angriffsmethoden
Nach erfolgreicher Installation beginnt SparkKitty mit der heimlichen Übertragung von Bildern aus der Gerätegalerie sowie detaillierten Geräteinformationen an die Angreifer. Obwohl der Trojaner zunächst wahllos Fotos stiehlt, liegt der Hauptfokus auf Screenshots von Seed-Phrasen, die für die Wiederherstellung von Kryptowallet-Zugängen verwendet werden.
In modifizierten TikTok-Versionen integrieren die Kriminellen zusätzlich Links zu verdächtigen Online-Shops, die ausschließlich Kryptowährungszahlungen akzeptieren. Dies deutet auf einen umfassenden Monetarisierungsansatz der gestohlenen Daten hin.
Verbindungen zu früheren Bedrohungskampagnen
Code-Analysen und Infrastruktur-Untersuchungen zeigen Verbindungen zum zuvor entdeckten SparkCat Trojaner, was auf kontinuierliche Aktivitäten einer organisierten Cyberkriminalitätsgruppe hinweist. Die Malware-Kampagne ist seit mindestens Februar 2024 aktiv und demonstriert ein hohes Maß an Organisation und technischer Raffinesse.
Die rechtzeitige Erkennung und Analyse solcher Bedrohungen ist entscheidend für den Schutz mobiler Nutzer. Anwender sollten ausschließlich Apps aus offiziellen Stores installieren, regelmäßig App-Berechtigungen überprüfen und zuverlässige Antivirus-Lösungen einsetzen. Kryptowährungsbesitzer müssen besonders vorsichtig mit ihren Seed-Phrasen umgehen und diese niemals als Screenshots auf mobilen Geräten speichern, um ihre digitalen Vermögenswerte vor derartigen ausgeklügelten Angriffen zu schützen.