SparkKitty-Spyware im App Store und Play Store stiehlt Fotos für Kryptodaten

Cybersicherheitsforscher bei Kaspersky haben eine neue Spyware-Operation namens SparkKitty gemeldet, die Apps infiziert hat, die sowohl im offiziellen Apple App Store als auch bei Google Play verfügbar sind.

Diese Spyware zielt darauf ab, alle Bilder von den Mobilgeräten der Nutzer zu stehlen, wobei der Fokus vermutlich auf der Suche nach Kryptowährungsinformationen liegt. Die Kampagne ist seit Anfang 2024 aktiv und zielt hauptsächlich auf Nutzer in Südostasien und China ab.

Die Spyware SparkKitty gelangt über harmlos wirkende Anwendungen auf Geräte, die oft als modifizierte Versionen beliebter Apps wie TikTok getarnt sind. Die bösartigen TikTok-Versionen enthielten sogar einen gefälschten TikToki Mall-Onlineshop, der Kryptowährungen für Konsumgüter akzeptierte und für den Zugriff oft einen Einladungscode benötigte.

Laut Kasperskys Bericht nutzen die Angreifer für iOS-Geräte ein spezielles Enterprise-Bereitstellungsprofil aus dem Apple Developer Program. Dadurch können sie Zertifikate auf iPhones installieren, die die schädlichen Apps vertrauenswürdig erscheinen lassen und so den üblichen Überprüfungsprozess des App Stores für die direkte Verbreitung umgehen.

Darüber hinaus haben Bedrohungsakteure ihren Schadcode eingebettet, indem sie Open-Source-Netzwerkbibliotheken wie AFNetworking.framework und Alamofire.framework modifiziert und ihn außerdem als libswiftDarwin.dylib getarnt haben.

Auf Android-Seite fand Kaspersky die Spyware SparkKitty in verschiedenen Kryptowährungs- und Casino-Apps versteckt. Eine solche App, ein Messaging-Tool mit Krypto-Funktionen, wurde über 10.000 Mal von Google Play heruntergeladen, bevor sie entfernt wurde.

Eine weitere infizierte Android-App, die außerhalb offizieller Stores verbreitet wurde, hatte eine ähnliche Version, die in den App Store gelangte. Beide enthielten den Schadcode direkt in der App selbst, nicht nur als separate Komponente.

Nach der Installation besteht das Hauptziel der Spyware SparkKitty darin, auf alle Fotos aus der Galerie eines Geräts zuzugreifen und diese zu stehlen. Obwohl sie hauptsächlich Bilder sammelt, scheint sie mit der älteren Spyware SparkCat verknüpft zu sein. Diese nutzte optische Zeichenerkennung ( OCR ), eine Technologie zum Lesen von Text aus Bildern, um gezielt Details wie Wiederherstellungsphrasen für Kryptowährungs-Wallets aus Screenshots zu finden und zu stehlen.

Einige Versionen von SparkKitty verwenden zu diesem Zweck auch OCR und nutzen dabei die Google ML Kit-Bibliothek , insbesondere in Apps, die über zwielichtige Webseiten verbreitet werden, die Betrugs- und Schneeballsystemen ähneln.

Kaspersky geht davon aus, dass die SparkKitty-Spyware in direktem Zusammenhang mit der früheren SparkCat-Kampagne steht, die im Januar 2025 entdeckt wurde und ähnliche Verbreitungsmethoden über offizielle und inoffizielle App-Marktplätze nutzt. Beide Bedrohungen scheinen sich zudem auf den Diebstahl von Kryptowährungen zu konzentrieren. Die Angreifer hinter der SparkKitty-Spyware zielten gezielt auf Nutzer in Südostasien und China ab, häufig über modifizierte Glücksspiele und Spiele für Erwachsene sowie die gefälschten TikTok-Apps .

Das Herunterladen von Apps aus Drittanbieter-Stores ist zwar immer riskant, doch diese Entdeckung zeigt, dass selbst vertrauenswürdige Quellen wie offizielle App-Stores nicht mehr als absolut zuverlässig gelten. Nutzer in den betroffenen Regionen und weltweit sollten bei App-Berechtigungen vorsichtig sein und die Legitimität jeder App prüfen, die ungewöhnliche Zugriffsrechte anfordert, insbesondere auf Fotogalerien.