Malware will Krypto-Wallets übernehmen
OCR-Trojaner soll sich auch in Apps aus dem App Store verstecken
Sicherheitsforscher haben erstmals eine auf Texterkennungsfunktionen basierende Malware im App Store gefunden. Der „SparkCat“ genannte Trojaner zielt darauf ab, Passwörter und Wiederherstellungsphrasen für Krypto-Wallets zu stehlen, die er mithilfe von optischer Zeichenerkennung (OCR) aus Screenshots der Nutzer extrahiert.
Eine detaillierte Analyse der neuen Malware-Variante findet sich im Blog des Anbieters von Virenscannern und Sicherheits-Software Kaspersky. Demzufolge versteckt sich die Software in Anwendungen, die nicht nur aus dem Android-App-Store von Google, sondern auch aus Apples App Store für iOS geladen werden können.
Screenshot: Apple App Store / Titelbild: Kaspersky
Als Beispiele für kompomittierte Anwendungen werden Messenger-Apps wie „WeTink“ oder KI-Apps wie „AnyGPT“ oder „ChatAI“ genannt. Betroffen sind Nutzer aus Europa, Asien und den Vereinigten Arabischen Emiraten.
Die SparkCat-Kampagne weist einzigartige Merkmale auf, die sie gefährlich machen. Erstens verbreitet sie sich über offizielle App-Stores und operiert, ohne offensichtliche Anzeichen einer Infektion zu hinterlassen. Die Tarnung des Trojaners macht es sowohl für die Moderatoren der Stores als auch für mobile Nutzer schwer, ihn zu entdecken. Zudem erscheinen die von ihm angeforderten Berechtigungen auf den ersten Blick unverdächtig, wodurch sie leicht übersehen werden können. Nutzer könnten die von der Malware angestrebte App-Berechtigung für den Galerie-Zugriff als wichtig für deren Funktionalität erachten. Diese Berechtigung wird typischerweise in passenden Kontexten abgefragt, etwa wenn Nutzer den Kundensupport kontaktieren.
Kaspersky zufolge wurden die Entdeckungen bereits an Google und Apple gemeldet. Allerdings ist auf den ersten Blick nicht klar, auf welche Weise die Malware ihren Weg in die genannten Anwendungen gefunden hat. Zumindest ein Teil der kompromittierten Anwendungen wirkt den Sicherheitsforschern zufolge legitim, während andere wohl eindeutig als Köder konzipiert sind, um die Endgeräte der Nutzer mit Malware zu infizieren.
Wie funktioniert der „SparkCat“-Trojaner?
In der Regel fordert die Malware nach der Installation Zugriff auf die Fotosammlung der Nutzer. Anschließend analysiert sie die in den gespeicherten Bildern vorkommenden Texte mithilfe eines OCR-Moduls und sendet die Fotos an die Angreifer, wenn relevante Schlüsselwörter erkannt wurden. Besonders interessant sind für die Hacker beispielsweise Wiederherstellungscodes für Kryptowährungs-Wallets, mit deren Hilfe sie die vollständige Kontrolle über das digitale Vermögen ihrer Opfer erlangen können.
Nutzer, die eine der betroffenen Apps installiert haben, sollen diese löschen und nicht erneut installieren, bis valide Gegenmaßnahmen verfügbar sind. Grundsätzlich soll man davon absehen, sensible Informationen wie Passwörter oder Wiederherstellungsphrasen als Screenshots zu speichern, sondern für die Verwaltung solcher Dokumente eine der gängigen Passwort-Apps verwenden.
Ok also kurz gesagt: Betrifft nur die die in Fotos Wiederherstellungscode sichern. Und die müssen zuvor Zugriffsberechtigung geben. Gut das ich das noch nie gemacht habe. Würde mir nicht einmal einfallen.
Kann mir auch nicht vorstellen das dabei, für die Hacker, viel rumkommt.
Wiederherstellungsschlüssel speichern wohl die wenigsten als Foto ab, und besonders die iOS Nutzer sind doch besonders geizig mit Freigaben. Ich geben nicht mal Kleinanzeigen Zugriff auf die Fotosdatenbank. (Kleinanzeigen ist auch so ein Schnüffelverein)
Unterschätze nie den Anteil der DAU an der Gesamtbevölkerung.
Scheint wohl genug Leute zu geben, die die Seed Phrase digital als Foto abspeichern.
Wird ja nur überall davor gewarnt ^^
Super das LastPass schon 2 mal geknackt wurde.
Nein auch diese Passwort Apps sind nicht wirklich sicher.
Thema?
Weil im Text darauf hingewiesen wurde, dass man eine Passwortmanager App benutzen soll. Wenn diese dann auch unsicher sind hinterlässt es zumindest ein mulmiges Gefühl. Deswegen war der Hinweis nicht offtopic!
Alles kann unsicher sein. Aber lieber ein Passwortmanager als ein Bild in einer Foto App
Bitwarden
eher für was für Hobby-Anwender .. kann nicht mal ohne Netz Passwörter speichern
Dann lieber LastPass :)
1Password the one and only <3
Na zum Glück lade ich nicht jeden K… auf mein Smartphone
Unabhängig davon, dass ich keine sensiblen Daten per Screenshot dokumentiere und archiviere, gebe ich auch so gut wie keiner App Vollzugriff auf meine Fotobibliothek.
Kuckuck… Wo ist denn die Fraktion, die immer behauptet, im Apple App Store sei alles sicherer? Die EU hat die Tore geöffnet, doch wo bleiben jetzt die Warnungen, dass alternative App Stores uns alle mit „Viren“ verseuchen und unser iPhone/iPad kompromittieren?
Ich habe X Meldungen zum App Store gelesen, aber noch keine zu den alternativen App Stores. Und wer die Menge der Apps vergleicht, bestätigt doch direkt, dass in den alternativen Stores nur handverlesene und qualitativ hochwertige Apps gelistet werden
Sei alles sicher? Wer das behauptet hat sowieso keine Ahnung. Aber natürlich ist ein Store mit Überprüfungen sicherer als ein Store ohne Überprüfungen. Das liegt schon in der Natur. Das eine schließt aber das andere nicht aus.
Abgesehen davon das die Angriffe immer ausgefeilter werden. Alternative Stores gibt es zu wenig. Alleine die hohe Nutzerzahl im offiziellen Store macht es für Angreifer schon attraktiv.
Da hilft ein Blick zu Android. Da wimmelt es von Malware die in den Top Charts zu finden sind. Da herrscht Wilder Westen. Hier stürzen sich die Medien bei ein Fundstück sofort drauf. Bubble und so.
Wie überprüfen denn die alternativen Markplätze die Apps, die sie in ihren Store lassen? Da habe ich bisher noch nirgends etwas drüber gelesen.
Apple überprüft automatisiert jede App, ob irgendwelche internen Schnittstellen aufgerufen werden, womit Malware zum Beispiel die Sandbox umgehen könnte. Oder noch viel einfacher: Apps können so auf den Standort, deine Fotos, alle Kontakte oder die Zwischenablage zugreifen, *ohne* das dir vorher eine Zugriffsberechtigungsanfrage angezeigt wird.
Die hier genannten Apps aus dem Apple App Store benötigen sogar vorher expliziten Zugriff auf die Fotos, weil sie das eben nicht umgehen können.
Dein Argument zeigt also eher auf wie schwierig es ist Malware unerkannt (und vor allem effektiv) in den Apple App Store zu bringen, während ich nicht wissen möchte was sich alles in den Apps aus den alternativen Markplätzen so versteckt.
Das war ein klassisches Eigentor mein lieber Freund.
Genau! Hot Tub ist qualitativ hochwertig.
Alle drei lassen sich noch im AppStore laden. Find ich gut… ;-)