Neuer Trojaner sucht in euren Fotos nach sensiblen Informationen

06.02.2025

Der Trojaner SparkCat arbeitet auf besonders perfide Art und Weise. Laut Kaspersky ist die Funktionsweise bislang einzigartig.

Sicherheitsexperten von Kaspersky haben einen neuartigen Trojaner namens SparkCat identifiziert, der sich in Apps sowohl für Android als auch für iOS versteckt. Die Malware, die seit März 2024 aktiv ist, zielt darauf ab, Passwörter und Recovery-Phrasen für Krypto-Wallets zu stehlen.

➤ Mehr lesen: Beliebte Chrome-Extensions mit Malware verseucht

Die Funktionsweise ist dabei besonders perfide. Der Trojaner sichert sich zuerst Zugriffsrechte auf die Fotogalerie der Anwenderinnen und Anwender. Dann nutzt er Texterkennung (Optical Character Recognition - OCR), um die Fotos nach sensiblen Informationen zu suchen. Also etwa Screenshots oder andere Bilder, auf denen entsprechende Phrasen zu finden sind. Relevante Fotos werden dann an die Urheber des Trojaners geschickt.

Die infizierten Apps umfassen etwa Messenger-Anwendungen wie WeTink und KI-Apps wie AnyGPT und ChatAI. Allein über Google Play wurde die Malware laut Kaspersky über 242.000 Mal heruntergeladen. Betroffen sind Nutzer in Europa, Asien und den Vereinigten Arabischen Emiraten.

Erster derartiger Trojaner

Sergey Puzan, Malware-Analyst bei Kaspersky, bezeichnet SparkCat als den ersten bekannten Fall eines OCR-basierten Trojaners im App-Store. Die Verbreitung über offizielle App-Stores und die unauffällige Operationsweise machen die Malware besonders gefährlich.

➤ Mehr lesen: Android-Malware klont Bankomatkarten, lässt Kriminelle Geld abheben

Dmitry Kalinin, ebenfalls Malware-Analyst bei Kaspersky, betont die Schwierigkeit der Erkennung: "Die von ihm angeforderten Berechtigungen erscheinen auf den ersten Blick unverdächtig, wodurch sie leicht übersehen werden können."

Wie schützt man sich

Um sich vor derartigen Angriffen zu schützen, empfiehlt Kaspersky, keine Screenshots mit sensiblen Informationen auf dem Smartphone zu speichern. Stattdessen solle man einen zuverlässigen Passwort-Manager verwenden. Hat man eine der betroffenen Apps installiert, sollte man sie jedenfalls sofort deinstallieren. Noch sicherer wäre das komplette Zurücksetzen des Smartphones auf Werkseinstellungen.