Erste OCR-basierte Malware in Google Play und AppStore entdeckt

Sicherheitsexperten von Kaspersky haben einen neuartigen Trojaner namens "SparkCat" identifiziert, der sich in Apps im Apple AppStore und Google Play Store versteckt. Diese Malware, die seit März 2024 aktiv ist, zielt darauf ab, Passwörter und Recovery-Phrasen für Kryptowährung-Wallets zu stehlen. Der Angriff erfolgt durch eine bisher einzigartige Methode: die Verwendung von optischer Zeichenerkennung (OCR) zur Analyse von Benutzer-Screenshots.

SparkCat tarnt sich als legitime App und wurde in verschiedenen Anwendungen gefunden, darunter Messenger und KI-basierte Apps sowie scheinbar legitime Applikationen wie Lieferdienste. Die Malware wurde laut Kaspersky bereits über 242.000 Mal allein über den Google Play Store heruntergeladen, was auf eine weite Verbreitung hindeutet. Betroffen sind Nutzer in Europa, Asien und den Vereinigten Arabischen Emiraten.

Sergey Puzan, Malware-Analyst bei Kaspersky, betont die Neuartigkeit dieses Angriffs: "Dies ist der erste bekannte Fall eines OCR-basierten Trojaners, der sich in den AppStore eingeschlichen hat." Denn SparkCat fordert nach der Installation Zugriff auf die Fotogalerie des Nutzers; im Anschluss analysiert die Malware dann mittels OCR den Text in den gespeicherten Bildern.

Werden relevante Schlüsselwörter erkannt, sendet die Malware die betreffenden Fotos an die Angreifer. Besonders im Fokus stehen Wiederherstellungsschlüssel für Krypto-Wallets, die den Hackern vollständige Kontrolle über die Wallets der Opfer ermöglichen. Kaspersky empfiehlt an dieser Stelle neben den üblichen Vorsichtsmaßnahmen auhc, keine Screenshots auf dem Smartphone zu speichern, die sensible Informationen wie die Wiederherstellungsschlüssel enthalten.