SparkCat – Wenn die eigene Fotogalerie zum Einfallstor wird
Autor: DerSchneider
Einleitung
Es ist ein Szenario, das die vermeintliche Sicherheit offizieller App-Stores infrage stellt: Eine Malware, die sich über Google Play und den Apple App Store verbreitet, ohne dass die etablierten Sicherheitsmechanismen der Plattformen dies verhindern können. SparkCat ist kein gewöhnlicher Trojaner. Diese Schadsoftware nutzt ein ungewöhnliches Verfahren: Sie durchsucht mit Hilfe von optischer Zeichenerkennung (OCR) die Fotogalerie infizierter Geräte gezielt nach Wiederherstellungsphrasen von Kryptowährungs-Wallets – den sogenannten Seed Phrases.
Die Bedrohung ist real, sie ist komplex und sie ist erst der Anfang. Was als erste bekannte OCR-Malware im Apple App Store im Februar 2025 dokumentiert wurde, hat sich binnen eines Jahres zu einer sich rasant weiterentwickelnden Bedrohungskategorie entwickelt. Dieser Artikel beleuchtet die technischen Hintergründe von SparkCat, ordnet die Malware in die historische Entwicklung mobiler Bedrohungen ein, analysiert die Kontroversen um die Sicherheit offizieller App-Stores und zeigt auf, welche Gefahren und Implikationen sich daraus für Nutzer und die Branche ergeben.
Hauptteil
Die technische Funktionsweise – Wie SparkCat tickt
SparkCat agiert nach einem ebenso simplen wie raffinierten Prinzip. Die Malware wird über infizierte Apps verbreitet, die auf den ersten Blick vollkommen harmlos erscheinen. Dazu zählen etwa Enterprise-Messenger, Essenslieferdienste oder Kryptowährungsbörsen. Kaspersky identifizierte etwa die App 幣coin im Apple App Store sowie SOEX auf Google Play, die später wieder entfernt wurden. Insgesamt verzeichneten allein die infizierten Android-Apps auf Google Play mehr als 242.000 Downloads, bevor sie von den Plattformen genommen wurden.
Nach der Installation verhält sich die Malware zunächst unscheinbar. Erst beim Öffnen bestimmter Bildschirme – etwa eines Kundensupport-Chats – fordert sie die für den Betrieb eigentlich unverdächtige Berechtigung zum Zugriff auf die Fotogalerie an. Auf Android wird der Speicherzugriff erbeten, auf iOS der Zugriff auf die Foto-Bibliothek. Hat der Nutzer diese Berechtigung erteilt, beginnt der eigentliche Prozess: Ein OCR-Modul durchsucht alle gespeicherten Bilder nach bestimmten Schlüsselwörtern oder – im Fall von iOS – direkt nach englischsprachigen mnemonischen Phrasen, die für die Wiederherstellung eines Krypto-Wallets benötigt werden.
Plattformspezifische Umsetzung
Die Implementierung von SparkCat unterscheidet sich signifikant zwischen Android und iOS, was die Anpassungsfähigkeit der Entwickler unterstreicht:
| Aspekt | Android-Variante | iOS-Variante |
|---|---|---|
| Verbreitung | Über Google Play und Drittanbieter-APKs | Über App Store, Phishing-Seiten mit Bereitstellungsprofilen |
| Einbettung | Java-/Kotlin-Apps, teils als bösartiges Xposed-Modul | Als Frameworks (z. B. AFNetworking, Alamofire) oder obfuskierte Bibliotheken (libswiftDarwin.dylib) |
| Auslösung | Beim App-Start oder bei nutzerdefinierten Aktionen | Über Objective-C +load-Methode beim App-Start |
| OCR-Methode | Google ML Kit | Google ML Kit |
| Zielsprachen | Japanisch, Koreanisch, Chinesisch | Englisch (mnemonische Phrasen) |
| Zielgruppe | Nutzer in Asien | Weltweit |
Auf iOS wird der Trojaner in Form von Frameworks eingeschleust und verwendet die +load-Methode von Objective-C, die automatisch ausgeführt wird, sobald die App startet. Eine Konfigurationsprüfung stellt sicher, dass der Schadcode nur unter bestimmten Bedingungen aktiv wird. Auf Android wird die Malware entweder beim App-Start oder bei nutzerspezifischen Interaktionen getriggert. In beiden Fällen ruft sie eine Remote-Konfiguration ab, die mit AES-256 verschlüsselt ist und die Adressen der Command-&-Control-Server (C2) enthält.
Einsatz von Machine Learning
Ein besonderes Merkmal ist der Einsatz von Googles ML Kit für die Texterkennung. SparkCat ist die erste bekannte Malware im iOS-Ökosystem, die optische Zeichenerkennung in dieser Form nutzt. Der Einsatz von Machine Learning erlaubt es der Malware, nicht nur nach festen Schlüsselworten zu suchen, sondern auch kontextuell relevante Textfragmente in Bildern zu identifizieren. Das ist ein entscheidender Schritt hin zu einer intelligenteren, zielgerichteteren Malware, die nicht mehr pauschal alle Bilder exfiltriert, sondern selektiv vorgeht.
Historische Entwicklung – Vom Proof of Concept zur globalen Bedrohung
Um die Dimension von SparkCat zu verstehen, lohnt ein kurzer Blick zurück. Mobile Malware ist keine neue Erfindung. 2004 wurde mit Cabir der erste mobile Wurm dokumentiert, der seinerzeit Nokia-Symbian-Geräte infizierte. Was damals eine Kuriosität war, entwickelte sich innerhalb eines Jahrzehnts zu einer allgegenwärtigen Bedrohung. 2013 wurden bereits täglich über 1.300 neue bösartige Apps entdeckt. Die Methoden wurden raffinierter: von einfachen SMS-Trojanern über Banking-Malware bis hin zu Ransomware.
SparkCat markiert jedoch einen neuen Meilenstein. Zum ersten Mal gelang es einer Malware, OCR-Technologie mit ausgeklügelten Tarnmechanismen zu kombinieren, um offizielle App-Stores zu infiltrieren. Die Kampagne ist seit mindestens März 2024 aktiv. Und sie wächst. Innerhalb eines Jahres nach der ersten Entdeckung im Februar 2025 tauchte bereits eine neue Variante auf, die sich durch zusätzliche Verschleierungstechniken auszeichnet.
Kontroversen – Wenn offizielle Stores zur Fassade werden
Die schiere Existenz von SparkCat wirft grundlegende Fragen auf: Wie sicher sind Google Play und der Apple App Store wirklich? Apples App Store galt lange als Festung. Die Zahl der Malware-Infektionen auf iOS liegt bei etwa einem Prozent im Vergleich zu Android. Diese relative Sicherheit ist vor allem das Verdienst der restriktiven Kontrollmechanismen und des Verbots von Sideloading.
Dennoch zeigt der Fall SparkCat eindrucksvoll, dass selbst diese Festung nicht undurchdringlich ist. Kaspersky-Experte Dmitry Kalinin betont: „The SparkCat malware is an evolving mobile threat. Threat actors behind it constantly raise the complexity of the anti-analysis techniques, allowing it to bypass the review process of the official app stores.“. Die Angreifer setzen auf Code-Virtualisierung und plattformübergreifende Programmiersprachen – Techniken, die in der mobilen Malware-Landschaft nach wie vor selten sind.
Ein besonders brisanter Aspekt ist die Frage der Herkunft. Kaspersky-Forscher fanden in der Android-Version chinesischsprachige Kommentare im Code. Zudem enthielt die iOS-Version Entwickler-Pfadnamen wie qiongwu und quiwengjing. Die genaue Zuordnung zu einer bekannten Cyberkriminellen-Gruppe steht jedoch noch aus. Diese Unsicherheit zeigt ein weiteres Problem: Oft wissen wir nicht genau, wer hinter einer solchen Kampagne steckt – was die Entwicklung wirksamer Gegenmaßnahmen erschwert.
Zukünftige Implikationen – Was SparkCat für die Zukunft bedeutet
SparkCat ist kein Einzelfall. Das eigentliche Problem liegt in der grundsätzlichen Verwundbarkeit von App-Ökosystemen. Die Entwickler von SparkCat haben bewiesen, dass es möglich ist, sichere Stores zu unterwandern. Die neue Variante für Android nutzt gleich mehrere Verschleierungsebenen, darunter Code-Virtualisierung und Cross-Platform-Sprachen, um der Analyse zu entgehen. Diese technischen Raffinessen sind für mobile Malware nach wie vor ungewöhnlich und signalisieren eine neue Qualität der Bedrohung.
Die Angreifer könnten ihre Taktik weiter ausbauen. Denkbare Szenarien sind die Integration ausgefeilterer KI-Methoden, um gezielter nach relevanten Daten zu suchen, oder die Nutzung von Zero-Day-Exploits, um Berechtigungsschranken zu umgehen. Ein weiterer Trend ist die verstärkte Nutzung von Supply-Chain-Angriffen: Anstatt eigene Apps zu entwickeln, kompromittieren Angreifer legitime Software-Bibliotheken, die dann in viele Apps eingebunden werden. Kaspersky hält es derzeit für unklar, ob die infizierten Apps in den Stores durch solche Supply-Chain-Angriffe kompromittiert wurden oder durch andere Methoden.
Für die Plattformbetreiber bedeutet das: Sie müssen ihre Prüfverfahren grundlegend überdenken. Statische Code-Analysen reichen offenbar nicht mehr aus. Es braucht dynamische Testumgebungen, Verhaltensanalyse und möglicherweise sogar den Einsatz von KI zur Erkennung von Anomalien im App-Verhalten nach der Installation. Gleichzeitig ist zu bedenken: Jede Verschärfung der Kontrollen bedeutet auch mehr Aufwand für legitime Entwickler und könnte Innovationen behindern.
Schutzmaßnahmen – Was Nutzer konkret tun können
Angesichts der Bedrohung sind auch die Nutzer gefragt. Kaspersky empfiehlt eine Reihe von Schutzmaßnahmen:
- Nutzung mobiler Sicherheitssoftware: Kaspersky for Android kann die Installation der Malware verhindern. Auf iOS verhindert die Software aufgrund der Architektur des Betriebssystems zumindest die Verbindung zu den Command-&-Control-Servern und warnt den Nutzer.
- Keine sensiblen Screenshots in der Galerie speichern: Das ist der wichtigste und einfachste Schutz. Seed-Phrases, Passwörter oder andere vertrauliche Informationen gehören nicht in die Fotogalerie – auch nicht als Screenshot. Besser geeignet sind spezialisierte Passwort-Manager oder verschlüsselte Notizen-Apps.
- Apps kritisch hinterfragen: Auch Apps aus offiziellen Stores sind nicht automatisch vertrauenswürdig. Achten Sie auf Faktoren wie minderwertige Bewertungen, ungewöhnlich hohe Anzahl positiver Bewertungen bei geringer Download-Zahl oder unplausible Berechtigungsanfragen.
- Berechtigungen regelmäßig prüfen: Eine App, die eigentlich nur für Nachrichten zuständig ist, benötigt keinen Zugriff auf die Fotogalerie. Prüfen Sie in den Einstellungen Ihres Geräts, welche Apps welche Berechtigungen haben, und entziehen Sie nicht benötigte Rechte.
- Betriebssystem und Apps aktuell halten: Sicherheitsupdates schließen bekannte Schwachstellen, die von Malware ausgenutzt werden könnten.
Die nachfolgende Tabelle fasst die Empfehlungen zusammen:
| Maßnahme | Beschreibung | Wirksamkeit gegen SparkCat |
|---|---|---|
| Mobile Sicherheitssoftware | Verhindert Installation bzw. blockiert C2-Kommunikation | Hoch (bei Android), Mittel (bei iOS) |
| Keine Seed-Phrases als Screenshot | Vermeidet das Vorhandensein sensibler Daten in der Galerie | Sehr hoch |
| Kritische App-Prüfung | Hinterfragen von Bewertungen, Berechtigungen, Entwickler-Historie | Mittel |
| Regelmäßige Berechtigungsprüfung | Entziehen nicht benötigter Zugriffsrechte | Hoch |
| Updates | Schließen von Sicherheitslücken | Mittel |
Fazit und Ausblick
SparkCat ist mehr als nur eine weitere Malware. Sie ist ein Weckruf. Die Kombination aus optischer Zeichenerkennung, gezieltem Datendiebstahl und der Fähigkeit, selbst streng geprüfte App-Stores zu unterwandern, stellt alle bisherigen Annahmen über mobile Sicherheit infrage. Die App-Stores von Apple und Google sind sicher – aber nicht absolut sicher. Das mag nach einer trivialen Erkenntnis klingen, doch die praktischen Konsequenzen sind weitreichend.
Die Reaktion der Plattformbetreiber auf SparkCat wird entscheidend sein. Werden sie ihre Prüfverfahren weiter verschärfen? Werden sie in Echtzeit-Verhaltensanalyse investieren? Oder setzen sie weiterhin auf statische Prüfungen, die von versierten Angreifern umgangen werden können? Fest steht: Der Wettlauf zwischen Angreifern und Verteidigern wird sich weiter beschleunigen. Künstliche Intelligenz, die auf der einen Seite zur Erkennung von Malware eingesetzt wird, kann auf der anderen Seite auch zur Erstellung intelligenterer Schadsoftware genutzt werden.
Für die Nutzer bleibt letztlich nur eines: ein wachsames Auge. Die Zeiten, in denen man sich blind auf die Sicherheit offizieller App-Stores verlassen konnte, sind vorbei. Das bedeutet nicht, dass man in Angst leben muss. Aber es bedeutet, dass man die Risiken kennt, versteht und entsprechend handelt. Die eigene Fotogalerie ist kein Safe. Und ein Screenshot des eigenen Wallet-Seeds ist das digitale Äquivalent eines Haustürschlüssels unter der Fußmatte – nur dass die Diebe in diesem Fall nicht an Ihrer Haustür stehen, sondern längst in Ihrem digitalen Wohnzimmer sitzen.
Quellen
- Kaspersky: Kaspersky discovers new crypto-stealing Trojan in AppStore and Google Play. Februar 2025. https://multisite2.geo.kaspersky.com/about/press-releases/kaspersky-discovers-new-crypto-stealing-trojan-in-appstore-and-google-play
- Kaspersky: Kaspersky discovers new SparkCat variant bypassing App Store and Google Play security. April 2026. https://www.kaspersky.com/about/press-releases/kaspersky-discovers-new-sparkcat-variant-bypassing-app-store-and-google-play-security
- The Hacker News: New SparkCat Variant in iOS, Android Apps Steals Crypto Wallet Recovery Phrase Images. April 2026. https://thehackernews.com/2026/04/new-sparkcat-variant-in-ios-android.html
- Kaspersky Securelist: SparkKitty, SparkCat‘s little brother: A new Trojan spy found in the App Store and Google Play. Juni 2025. https://securelist.com/sparkkitty-ios-android-malware/116793/
- BleepingComputer: Malware on Google Play, Apple App Store stole your photos—and crypto. Juni 2025. https://www.bleepingcomputer.com/news/security/malware-on-google-play-app-store-stole-your-photos-and-crypto/
- Securitricks: SparkCat crypto stealer in Google Play and App Store. Februar 2025. https://securitricks.com/attackreports/sparkcat-crypto-stealer-in-google-play-and-app-store
- Yahoo Tech: SparkCat malware returns to target Android and iOS users. April 2026. https://tech.yahoo.com/cybersecurity/articles/sparkcat-malware-returns-target-android-161000541.html
- Kaspersky Deutschland: Im App Store und in Google Play: Kaspersky entdeckt Spionage-Trojaner SparkKitty. Juni 2025. https://www.kaspersky.de/about/press-releases/im-app-store-und-in-google-play-kaspersky-entdeckt-spionage-trojaner-sparkkitty
- Kaspersky: SparkCat: Proof That iOS Is Not Immune to Malware. März 2025. https://blog.pradeo.com/sparkcat-ios-malware
- BSI: Smartphone, Tablet – Schutz für Mobilgeräte. https://www.bsi.bund.de
Kommentar abschicken