Kaspersky warnt vor Schadsoftware namens "SparkCat" in offiziellen App Stores, die Screenshots von Krypto-Seed-Phrases ausliest und so Zugriff auf Krypto-Wallets erlangt. Die Malware tarnt sich als harmlose Apps und wurde sowohl für Android als auch iOS entdeckt, wobei Nutzer dringend aufgefordert werden, keine Screenshots ihrer Seed-Phrases zu speichern und verdächtige Apps zu deinstallieren. Betroffen sind über 242.000 Nutzer, die Apps wie WeTink, AnyGPT und ComeCome heruntergeladen haben.
Krypto-Nutzer sollten ihre Sicherheitsmaßnahmen dringend überprüfen. Das russische Cybersecurity-Unternehmen Kaspersky warnt vor Apps in den offiziellen App Stores von Google und Apple, die Screenshots nach Seed-Phrases durchsuchen. Diese Schlüsselwörter dienen zur Wiederherstellung von Krypto-Wallets und ermöglichen den Zugriff auf die darin enthaltenen digitalen Vermögenswerte. News.bitcoin.com berichtet von über 242.000 Downloads der betroffenen Apps.
Die Schadsoftware namens "SparkCat" verwendet optische Zeichenerkennung (OCR), um Bilder auf dem Smartphone des Nutzers zu scannen und nach Seed-Phrases zu suchen. Kaspersky erklärt, dass die Software gezielt nach den Mnemonics, den Wörtern der Seed-Phrases, sucht. Durch die Umwandlung von Bilddaten in Text kann die Malware diese Schlüsselwörter identifizieren und Zugriff auf die Wallets erlangen. Besonders gefährlich ist, dass die Apps ähnliche Berechtigungen wie harmlose Anwendungen anfordern und ihre schädliche Funktion dadurch schwer erkennbar ist. Helpnetsecurity.com berichtet, dass sich die Malware oft als unauffällige Apps wie KI-Chatbots oder Lieferdienste tarnt.
Die von Kaspersky identifizierten Apps wurden sowohl für Android als auch – erstmalig – für iOS entdeckt. Theverge.com zufolge wurden die schädlichen Codes Ende 2024 entdeckt, wobei die zugrundeliegenden Frameworks scheinbar im März desselben Jahres erstellt wurden. Die Malware wird aktiviert, sobald der Nutzer den Chat-Support innerhalb der infizierten App verwendet. Nach Erteilung der Zugriffsberechtigung auf die Fotogalerie scannt die Software die Bilder und sendet gefundene Seed-Phrases an die Angreifer. Kaspersky nennt WeTink, AnyGPT und ComeCome als Beispiele für betroffene Anwendungen.
Die Gefahr dieser Apps wird durch die verbreitete, aber unsichere Praxis, Screenshots von Seed-Phrases zu erstellen, verstärkt. Janine Grainger, CEO von Easy Crypto, beschreibt in einem Beitrag auf finextra.com Seed-Phrases als den "Hauptschlüssel" zu Kryptowährungen. Viele Nutzer speichern diese jedoch ungeschützt, beispielsweise als Screenshot auf dem Smartphone, was sie anfällig für Angriffe macht. Grainger betont die Notwendigkeit innovativer Wallet-Lösungen, die Sicherheit und Benutzerfreundlichkeit vereinen. Sie verweist auf Technologien wie Multi-Party Computation (MPC) und Social Recovery als mögliche Alternativen zu Seed-Phrases.
Auch securityintelligence.com berichtet über ähnliche Vorfälle, wie die SpyAgent Malware, die ebenfalls Screenshots nach Krypto-Wiederherstellungsphrasen durchsucht. Der Artikel hebt hervor, dass nicht nur Kryptowährungen, sondern auch andere sensible Daten wie Passwörter oder Finanzinformationen durch solche Angriffe gefährdet sind. Unternehmen und Privatpersonen sollten daher Vorsichtsmaßnahmen ergreifen und verdächtige Apps meiden.
Kaspersky empfiehlt Nutzern, die betroffenen Apps sofort zu deinstallieren und keine Screenshots von sensiblen Informationen, insbesondere Seed-Phrases, auf ihren Geräten zu speichern. Spezialisierte Anwendungen zur sicheren Aufbewahrung solcher Daten sollten stattdessen verwendet werden. Obwohl bereits Nutzer von dieser Schadsoftware betroffen sind, konnte Kaspersky bisher keine Angaben zur Höhe der entstandenen Verluste machen.
Quellen:
