Apps sind aus dem Alltag nicht mehr wegzudenken. Es gibt kaum eine Aufgabe, der nicht eine eigene App gewidmet ist. Viele Smartphone-Nutzer haben dutzende oder gar hunderte Anwendungen auf ihren Handys installiert und diese mit umfangreichen Berechtigungen versehen – ohne auch nur einen Gedanken an die möglichen Konsequenzen verschwendet zu haben. Ein Verhalten, das zu einem großen Problem werden kann, wie ein aktueller Fall offenbart.
Virus im Play Store und App Store
Experten des Sicherheitsdienstleisters Kaspersky haben einen Virus entdeckt, der bereits seit mindestens März 2024 sowohl Android- als auch iPhone-Nutzer befällt. Die als „SparkCat“ betitelte Malware fand sich dabei nicht nur in explizit zu diesem Zweck geschaffenen Köder-Apps, sondern soll auch einige legitime Anwendungen in Googles Play Store und Apples App Store infiziert haben. Und dessen Opfer sind zahlreich. Allein im Play Store sollen befallene oder betrügerische Anwendungen über 242.000 Mal heruntergeladen worden sein.
Die betroffenen Anwendungen gehören dabei zu zahlreichen unterschiedlichen Bereichen wie etwa die Lebensmittelliefer-App „ComeCome“, die KI-Tools „AnyGPT“ sowie „ChatAi“ oder der Messenger „WeTink“. Eine vollständige Liste aller entdeckten Apps folgt am Ende dieses Artikels.
Funktionsweise des SparkCat-Trojaners
Wurde eine infizierte App erst einmal installiert, erbittet sie die Berechtigung, auf Bildergalerien zuzugreifen. Anschließend werden sämtliche Fotos durchforstet – primär wohl auf der Suche nach Zugangsinformationen zu Krypto-Wallets. Doch die Malware vermag es, auch weitere Passwörter und Nachrichten auszulesen. Werden jene entdeckt, übermittelt SparkCat die Fotos an die Cyberkriminellen.
Der Angriff richtet sich laut der Kaspersky-Analyse an zahlreiche Märkte. So soll der Trojaner Schlüsselwörter in den Sprachen Chinesisch, Japanisch, Koreanisch, Englisch, Tschechisch, Französisch, Italienisch, Polnisch und Portugiesisch auslesen können. Wobei die Sicherheitsexperten unterstreichen, dass auch weitere Länder betroffen sein könnten. Die Cyberkriminellen selbst scheinen derweil aus dem chinesischen Raum zu stammen. Darauf deuten zumindest einige Codeschnipsel in der chinesischen Sprache hin.
Kann man sich schützen?
Zunächst einmal empfiehlt es sich, keine Anwendungen aus unbekannten Quellen zu installieren. Doch auch bei Apps aus den offiziellen Stores ist Vorsicht geboten. Bereits die Rezensionen offenbaren oftmals, dass mit der App etwas nicht stimmt und diese nicht richtig zu funktionieren scheint. Was seinerseits ein guter Hinweis auf eine Köder-App sein kann. Ferner sollten Nutzer Berechtigungen nicht leichtsinnig erteilen. Erfragt etwa eine Taschenlampen-App die Erlaubnis, Kontaktlisten einzusehen oder Anrufe zu tätigen, sollte man stutzig werden. Und auch eine Antiviren-App kann dabei helfen, Cyberkriminellen einen Riegel vorzuschieben.
Mittlerweile haben sowohl Google als auch Apple sämtliche enttarnten Trojaner aus den Stores entfernt. Wir empfehlen dringend, diese auch von den Smartphones zu löschen, sofern nicht bereits geschehen. Insgesamt hat Kaspersky zehn Apps im Play Store und elf Anwendungen im App Store aufgespürt.
Infizierten APKs im Play Store:
- com.crownplay.vanity.address
- com.atvnewsonline.app
- com.bintiger.mall.android
- com.websea.exchange
- org.safew.messenger
- org.safew.messenger.store
- com.tonghui.paybank
- com.bs.feifubao
- com.sapp.chatai
- com.sapp.starcoin
Infizierten Bundle IDs im App Store:
- com.atvnewsonline.app
- com.wukongwaimai.client
- com.lc.btdj
- com.feidu.pay
- com.wetink.chat
- com.websea.exchange
- xyz.starohm.chat
- com.crownplay.luckyaddress1
- com.safew.messenger
- com.thpay.bank
- io.aicean.chat
