Kaspersky warnt vor neuer Krypto-Malware, die Screenshots von iOS und Android stiehlt

Kaspersky-Forscher haben eine ausgeklügelte neue mobile Malware-Kampagne mit dem Namen„SparkKitty“ entdeckt, die erfolgreich sowohl in den App Store von Apple als auch in Google Play eingedrungen ist und es speziell auf Screenshots von Krypto-Wallet-Seed-Phrasen abgesehen hat, die in den Fotogalerien der Nutzer gespeichert sind.

Die Malware , die aus einer zuvor identifizierten SparkCat-Kampagne hervorgegangen ist, nutzt die Technologie der optischen Zeichenerkennung (OCR), um Bilder mit sensiblen Krypto-Wallet-Informationen von iOS- und Android-Geräten zu scannen und zu exfiltrieren.

Die Kampagne, die seit mindestens Februar 2024 aktiv ist, hat vor allem Nutzer in Südostasien und China ins Visier genommen, und zwar über infizierte Apps, die als TikTok-Mods, Krypto-Portfolio-Tracker, Glücksspiele und Anwendungen für Erwachseneninhalte getarnt sind und unter scheinbar legitimen Vorwänden Zugriff auf die Fotogalerie verlangen.

Quelle: Kaspersky

Diese Cyberkriminellen umgingen erfolgreich die offiziellen Sicherheitsvorkehrungen der App-Stores, um infizierte Anwendungen zu verbreiten, die bei der automatischen Überprüfung und den menschlichen Prüfern legitim erschienen.

Zwei prominente Beispiele sind Soex Wallet Tracker, das sich als Portfoliomanagement-App ausgab und über 5.000 Mal von Google Play heruntergeladen wurde, und Coin Wallet Pro, das sich als sichere Multi-Chain-Wallet ausgab, bevor es über Social-Media-Anzeigen und Telegram-Kanäle beworben wurde.

Quelle: Kaspersky

Wie SparkKitty’s Seed Phrase Stealer die IOS und Android Erkennung umging

Auf iOS-Geräten tarnte sich die Malware in der Regel als modifizierte Versionen beliebter Frameworks wie AFNetworking oder Alamofire und nutzte Apples Enterprise Provisioning Profile System aus, das es Unternehmen ermöglicht, interne Apps ohne Genehmigung des App Stores zu verteilen.

Diese Enterprise-Profile sind zwar für den Einsatz in Unternehmen legitim, doch Cyberkriminelle konnten über diese Profile unsignierte Anwendungen installieren, die die standardmäßigen Sicherheitsüberprüfungsprozesse von Apple umgehen konnten.

Sie gehen sogar so weit, modifizierte Versionen von legitimen Open-Source-Bibliotheken zu erstellen, die die ursprüngliche Funktionalität beibehalten, aber bösartige Funktionen hinzufügen.

Das beschädigte AFNetworking-Framework behielt beispielsweise seine ursprünglichen Netzwerkfunktionen bei, während es heimlich Fotodiebstahl-Funktionen über eine versteckte AFImageDownloaderTool-Klasse integrierte, die beim Laden der App über den automatischen Lastauswahlmechanismus von Objective-C aktiviert wurde.

Auf diese Weise konnte die Malware so lange unbemerkt bleiben, bis bestimmte Bedingungen erfüllt waren, z. B. wenn Benutzer zu Support-Chat-Bildschirmen navigierten, wo Fotozugriffsanfragen natürlich und weniger verdächtig erschienen.

Auf Android-Plattformen wandte die Malware ebenso ausgeklügelte Verbreitungsmethoden an, indem sie bösartigen Code direkt in App-Einstiegspunkte einbettete und gleichzeitig legitime Kryptowährungsthemen nutzte, um Opfer anzulocken.

OCR-Technologie verwandelt Fotos in eine digitale Goldmine

Das gefährlichste Merkmal von SparkKitty ist seine ausgeklügelte optische Zeichenerkennungstechnologie, die automatisch kryptobezogene Informationen aus den Fotogalerien der Opfer identifiziert und extrahiert, ohne dass die Angreifer sie manuell überprüfen müssen.

Im Gegensatz zu früherer mobiler Malware, die auf massenhaften Fotodiebstahl und manuelle Analyse angewiesen war, nutzt SparkKitty die Integration der Google ML (Machine Learning) Kit-Bibliothek, um Bilder nach Textmustern zu durchsuchen. Es sucht speziell nach Seed-Phrasen, privaten Schlüsseln und Wallet-Adressen, die Benutzer häufig als Screenshots zu Sicherungszwecken machen, obwohl Sicherheitsempfehlungen von solchen Praktiken abraten.

Wie Kaspersky erklärt, demonstriert die OCR-Implementierung der Malware fortgeschrittene Fähigkeiten zur Mustererkennung. Sie filtert automatisch Bilder auf der Grundlage des Textinhalts und sendet nur die Bilder mit kryptorelevanten Informationen an die Command-and-Control-Server.

Das System sucht nach bestimmten Textblöcken, die eine Mindestanzahl von Wörtern und Zeichen enthalten, und unterscheidet so effektiv zwischen zufälligen Fotos und potenziell wertvollen Finanzinformationen.

Dieser gezielte Ansatz reduziert die Anforderungen an die Datenübertragung und maximiert gleichzeitig den Wert der gestohlenen Informationen, so dass die Angreifer größere Opfergruppen effizienter bearbeiten können.

Ähnliche Kampagnen, die während der Untersuchung von Kaspersky entdeckt wurden, enthüllten noch raffiniertere Implementierungen, einschließlich Versionen, die auf Backup-Prozeduren abzielen, indem sie gefälschte Sicherheitswarnungen anzeigen, die die Benutzer anweisen, „Ihren Wallet-Schlüssel in den Einstellungen innerhalb von 12 Stunden zu sichern“ oder zu riskieren, den Zugriff auf ihre Wallets zu verlieren.

Diese Social-Engineering-Einblendungen führen die Opfer durch den Zugriff auf ihre Seed-Phrasen, so dass der Accessibility Logger der Malware die Informationen direkt erfassen kann, anstatt sich nur auf vorhandene Screenshots zu verlassen.

Die Auswirkungen gehen über den individuellen Diebstahl hinaus und umfassen auch systematische Krypto-Mining-Operationen, wie verwandte Kampagnen wie die APT-Gruppe Librarian Ghouls zeigen , die den Diebstahl von Zugangsdaten mit unautorisiertem Monero-Mining auf kompromittierten Geräten kombiniert.

Diese Angriffe mit doppeltem Verwendungszweck schaffen kontinuierliche Einnahmequellen für Cyberkriminelle, die bestehende Kryptobestände stehlen und die Rechenressourcen der Opfer zum Mining weiterer digitaler Assets nutzen. Auf diese Weise werden kompromittierte Geräte für längere Zeit zu einer gewinnbringenden Infrastruktur.