:quality(80)/p7i.vogel.de/wcms/ee/ff/eeffa375f140fc05a4ae976bc320b3d3/0122830669v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/b4/66/b466fd997c88a351fd1bf512c8732bfc/0122560426v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/79/fe/79fe75dae59bb698825be262783993e4/0122790202v4.jpeg?#)
OCR-Trojaner soll sich auch in Apps aus dem App Store verstecken
Sicherheitsforscher haben erstmals eine auf Texterkennungsfunktionen basierende Malware im App Store gefunden. Der „SparkCat“ genannte Trojaner zielt darauf ab, Passwörter und Wiederherstellungsphrasen für Krypto-Wallets zu stehlen, die er mithilfe von optischer Zeichenerkennung (OCR) aus Screenshots der Nutzer extrahiert. Eine detaillierte Analyse der neuen Malware-Variante findet sich im Blog des Anbieters von Virenscannern und Sicherheits-Software Kaspersky. […]
Sicherheitsforscher haben erstmals eine auf Texterkennungsfunktionen basierende Malware im App Store gefunden. Der „SparkCat“ genannte Trojaner zielt darauf ab, Passwörter und Wiederherstellungsphrasen für Krypto-Wallets zu stehlen, die er mithilfe von optischer Zeichenerkennung (OCR) aus Screenshots der Nutzer extrahiert.
Eine detaillierte Analyse der neuen Malware-Variante findet sich im Blog des Anbieters von Virenscannern und Sicherheits-Software Kaspersky. Demzufolge versteckt sich die Software in Anwendungen, die nicht nur aus dem Android-App-Store von Google, sondern auch aus Apples App Store für iOS geladen werden können.
Screenshot: Apple App Store / Titelbild: Kaspersky
Als Beispiele für kompomittierte Anwendungen werden Messenger-Apps wie „WeTink“ oder KI-Apps wie „AnyGPT“ oder „ChatAI“ genannt. Betroffen sind Nutzer aus Europa, Asien und den Vereinigten Arabischen Emiraten.
Die SparkCat-Kampagne weist einzigartige Merkmale auf, die sie gefährlich machen. Erstens verbreitet sie sich über offizielle App-Stores und operiert, ohne offensichtliche Anzeichen einer Infektion zu hinterlassen. Die Tarnung des Trojaners macht es sowohl für die Moderatoren der Stores als auch für mobile Nutzer schwer, ihn zu entdecken. Zudem erscheinen die von ihm angeforderten Berechtigungen auf den ersten Blick unverdächtig, wodurch sie leicht übersehen werden können. Nutzer könnten die von der Malware angestrebte App-Berechtigung für den Galerie-Zugriff als wichtig für deren Funktionalität erachten. Diese Berechtigung wird typischerweise in passenden Kontexten abgefragt, etwa wenn Nutzer den Kundensupport kontaktieren.
Kaspersky zufolge wurden die Entdeckungen bereits an Google und Apple gemeldet. Allerdings ist auf den ersten Blick nicht klar, auf welche Weise die Malware ihren Weg in die genannten Anwendungen gefunden hat. Zumindest ein Teil der kompromittierten Anwendungen wirkt den Sicherheitsforschern zufolge legitim, während andere wohl eindeutig als Köder konzipiert sind, um die Endgeräte der Nutzer mit Malware zu infizieren.
Wie funktioniert der „SparkCat“-Trojaner?
In der Regel fordert die Malware nach der Installation Zugriff auf die Fotosammlung der Nutzer. Anschließend analysiert sie die in den gespeicherten Bildern vorkommenden Texte mithilfe eines OCR-Moduls und sendet die Fotos an die Angreifer, wenn relevante Schlüsselwörter erkannt wurden. Besonders interessant sind für die Hacker beispielsweise Wiederherstellungscodes für Kryptowährungs-Wallets, mit deren Hilfe sie die vollständige Kontrolle über das digitale Vermögen ihrer Opfer erlangen können.
Nutzer, die eine der betroffenen Apps installiert haben, sollen diese löschen und nicht erneut installieren, bis valide Gegenmaßnahmen verfügbar sind. Grundsätzlich soll man davon absehen, sensible Informationen wie Passwörter oder Wiederherstellungsphrasen als Screenshots zu speichern, sondern für die Verwaltung solcher Dokumente eine der gängigen Passwort-Apps verwenden.
