Kürzlich haben Cyber-Sicherheits-Forscher über eine neue Variante von Malware bekannt als SparkCat, die in offiziellen mobilen Applikations-Stores wieder erschienen: beide in der App Store Apple wie im Google Play Store. Beunruhigend ist, dass Installateure nicht verdächtige Anwendungen mit dem bloßen Auge sind: Sie sind in Programmen, die sicher erscheinen, wie Business Messenger oder Food Delivery Services, getarnt und wirken ruhig im Hintergrund.
Spark Die gefährlichste schädliche Funktion von Cat ist seine Fähigkeit, die Fotogalerien des Geräts auf der Suche nach Kryptomoneda Münzwiederaufnahme Phrasen zu scannen. Diese Art von Phrase - die berühmte "seed" oder mnemonic - ermöglicht es, die Kontrolle über digitale Portemonnaies wiederherzustellen; wenn sie in die Hände eines Angreifers fallen, kann der Vermögensdiebstahl praktisch sofort sein. Forscher des russischen Unternehmens Kaspersky Sie bemerkten den Nachweis mehrerer infizierter Anwendungen auf beiden Plattformen und erklärten, wie Malware nur Bilder mit relevantem Text an Betreiber kontrollierte Server sendet.
Ein wesentlicher Unterschied zwischen den Varianten ist die sprachliche und Scope-Strategie. Die Version, die iOS betrifft, wurde entworfen, um mnemonic Phrasen in Englisch zu identifizieren, so dass es potenziell breiter im Umfang, da es nicht von einer bestimmten regionalen Sprache abhängt. Für seinen Teil, die Android-Variante enthält Word-Suchmechanismen in Japanisch, Koreanisch und Chinesisch, auf einen Fokus auf asiatische Benutzer.
Neben Sprachmustern zeigen technische Änderungen in der Android-Version eine Evolution in der Malware-Ephistik. Entwickler haben mehrere Schichten der Nutzung hinzugefügt, um ihre Analyse zu komplizieren: von der Virtualisierung des Codes bis zur Verwendung von multi-platform Sprachen und Werkzeugen, die versuchen, die statische und dynamische Inspektion von Antwort-Teams verwendet. Mit anderen Worten hat SparkCat gelernt, sich besser zu verstecken und Analysten zu verlangsamen oder zu verwirren.
Der Exfiltrationsvektor basiert auf einem optischen Zeichenerkennungsmodul (OCR), das die im Gerät gespeicherten Bilder analysiert. Wenn das OCR einen mit einem Recovery-Satz verbundenen Text erkennt, wird das entsprechende Bild auf den Server des Angreifers übertragen. Diese Technik wurde zuerst von Kaspersky im Februar 2025 beschrieben und kommt nun mit Verbesserungen zurück, bestätigt, dass das schädliche Projekt aktiv und in kontinuierlicher Entwicklung ist.
Die Forscher haben die Operation mit einem chinesischsprachigen Schauspieler verknüpft, und nach ihren Erkenntnissen weisen die Ähnlichkeiten zwischen den alten und den neuen Proben darauf hin, dass die Verantwortlichen die gleichen Betreiber oder eine sehr verbundene Gruppe sind. Die Analyse von Verhaltens- und Infektionsketten führte Experten wie Sergey Puzan dazu, auf die Notwendigkeit mobiler Sicherheitstools hinzuweisen und auf die für Anwendungen erteilten Genehmigungen zu achten. In seinen Aussagen in der Presse betonte Puzan, dass Malware Zugriff auf Fotos in bestimmten Szenarien fordert und nutzt dann OCR, um zu entscheiden, was an Angreifer senden.
Aus einer praktischen Perspektive, dies setzt Empfehlungen auf die Tabelle wieder, dass jeder Kryptomoneda Benutzer ernst nehmen sollte. Das Speichern einer fotografischen Kopie des Wiederherstellungsphrasens auf dem Telefon macht das Kopieren eines Ziels. Hardware-Waletten und Kältespeicher-Praktiken bleiben die robustesten Verteidigung gegen diese Art von Diebstahl. Darüber hinaus überprüfen Sie sorgfältig die von den Anwendungen angeforderten Berechtigungen vor der Installation und Misstrauen Apps, die Zugriff auf die Galerie verlangen, wenn sie keinen klaren Grund haben, dies zu tun, reduziert das Risiko erheblich.
Offizielle Geschäfte haben ihre Kontrollen verbessert, aber Vorfälle zeigen, dass sie nicht unfehlbar sind: bösartige Anwendungen können erste Bewertungen passieren oder erscheinen nach Updates, die Hostile-Code einführen. Es wird daher empfohlen, native Schutzlösungen mit mobilen Sicherheitslösungen zu ergänzen und den Ruf der Entwickler vor der Installation zu überprüfen. Apple-Ressourcen für App-Reviews und Schutztools wie Google Play Protect kann Risiken mildern, obwohl sie die Vorsicht des Benutzers nicht ersetzen.
Für diejenigen, die digitale Vermögenswerte verwalten, ist es auch angebracht, spezialisierte Sicherheitsführer zu folgen: Hersteller von Geldbörsen und Plattformen wie MetaMask und Hardware-Hersteller mögen Led bieten klare Empfehlungen zum Speichern der mnemonic Phrasen und zur Minimierung der Exposition. Und, jenseits von Kryptomoneda, das Betriebssystem zu halten und aktuelle Anwendungen reduziert das Gelegenheitsfenster für Malware, um bekannte Schwachstellen auszunutzen.
Die Wiedererscheinung von SparkCat erinnert daran, dass die mobile Bedrohung dynamisch ist: Die Autoren verwenden nicht nur Ideen, sondern perfekt. Die von Kaspersky veröffentlichte Forschung und die Verbreitung spezialisierter Medien wie The Hacker News zeigen, dass diese Arten von Kampagnen versuchen, ihre Auswirkungen mit relativ einfachen, aber effektiven Techniken zu maximieren, wenn Low-Risiko-Nutzer zu finden.
Kurz gesagt, die Lektion ist klar: Der Komfort, alles am Telefon zu haben, sollte nicht in Fahrlässigkeit mit den Schlüsseln (gese Sätze) unserer digitalen Portfolios übersetzt werden. Speichern Sie einen Recovery-Satz in einem mobilen Foto ist einladen den Raub. Unter Berücksichtigung grundlegender digitaler Hygienemaßnahmen und Wetten auf Offline-Sicherheits- und Speicherlösungen kann der Unterschied zwischen der Aufrechterhaltung oder dem Verlust der Kontrolle von Vermögenswerten bestehen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...