SparkCat: Der Beweis, dass iOS nicht vor Malware geschützt ist

Forscher haben kürzlich SparkCat entdeckt, eine Malware, die Smartphone-Nutzer ins Visier nimmt, indem sie deren Screenshots ausnutzt, um sensible Daten zu extrahieren. Dieses Schadprogramm wurde kürzlich in Anwendungen entdeckt, die im App Store und bei Google Play verfügbar sind, und zeigt damit die Grenzen der Sicherheitskontrollen dieser Plattformen auf. 

Eine raffinierte Malware, die Screenshots ausnutzt 

SparkCat infiziert mobile Geräte, indem es sich in Apps versteckt, die aus dem App Store oder Google Play heruntergeladen wurden. Nach der Installation fordert die bösartige App Zugriff auf Fotos unter einem scheinbar legitimen Vorwand, wie z. B. der Bildanpassung oder dem Teilen von Mediendateien. Sobald diese Berechtigung erteilt ist, durchsucht sie unauffällig den Ordner, in dem die Screenshots der Nutzer gespeichert sind. 

Dann beginnt die Bildanalyse. SparkCat verwendet optische Zeichenerkennung (OCR), um sensible Informationen zu identifizieren – in erster Linie Wiederherstellungsphrasen für Kryptowährungs-Wallets, aber auch Anmeldeinformationen und Authentifizierungscodes. Die extrahierten Daten werden anschließend an einen von Cyberkriminellen kontrollierten Remote-Server gesendet, wodurch diese Zugang zu den Finanzkonten der Opfer erhalten und diese leerräumen können. 

Doch damit nicht genug: Durch die ausgenutzten Berechtigungen kann die Malware SMS-Nachrichten und Benachrichtigungen abfangen und so Zwei-Faktor-Authentifizierungscodes stehlen. Dadurch umgeht sie die von den Opfern eingerichteten Sicherheitsmaßnahmen und erleichtert den Zugang zu geschützten Konten. Um ihre Persistenz zu gewährleisten, nutzt SparkCat fortschrittliche Verschleierungstechniken, die ihre Erkennung erschweren und die Entfernung komplizieren. 

Infizierte Anwendungen in offiziellen Stores 

Die Malware SparkCat ist besonders tückisch, da sie legitime Anwendungen in Infektionsvektoren verwandelt. Sie hat sich über offizielle Stores verbreitet, indem sie in legitime Anwendungen integriert wurde, die beliebte Dienste anbieten, wie z. B. KI-Assistenten, Essensliefer-Apps und Kryptowährungs-Wallets. 

Die Malware-Infektion erfolgt über SDKs und Frameworks, die von Entwicklern häufig unwissentlich integriert werden, ohne sich ihrer bösartigen Natur bewusst zu sein, wodurch die Sicherheit ihrer Anwendungen und der Endnutzer gefährdet wird. 

Auf Android enthält das bösartige SDK eine Java-Komponente namens Spark, die als Datenanalysemodul getarnt ist. Auf iOS tritt es unter verschiedenen Namen auf, darunter Gzip, googleappsdk oder stat. Zu den identifizierten schädlichen Anwendungen gehören WeTink, AnyGPT und ComeCome. 

Wie kann man sich vor dieser Malware schützen? 

Um sich gegen SparkCat zu schützen, sollten die folgenden Sicherheitsmaßnahmen beachtet werden: 

• Berechtigungen einschränken: Den Zugriff auf sensible Ressourcen wie die Fotogalerie nur auf unbedingt notwendige Anwendungen beschränken.
• App-Berechtigungen überprüfen: Regelmäßige Audits der gewährten Zugriffe durchführen und nicht gerechtfertigte oder nicht mit den Sicherheitsrichtlinien des Unternehmens konforme Berechtigungen widerrufen.
• Eine fortschrittliche mobile Sicherheitslösung einsetzen: Pradeo Mobile Threat Defense (MTD) analysiert das gesamte Anwendungsverhalten mit unübertroffener Präzision. Sie erkennt nicht nur, wenn eine Anwendung versucht, auf gespeicherte Dateien zuzugreifen, sondern auch, wenn sie Daten an einen externen Server überträgt. Dank dieser hochpräzisen Erkennung werden Anwendungen, die SparkCat enthalten, automatisch von Pradeo blockiert, wodurch verhindert wird, dass sensible Daten überhaupt erst abfließen können.