SparkCat meldet sich zurück: Neue Malware-Variante im App Store und in Google Play aufgetaucht

Laut Kaspersky ist die neue Schadsoftware in Apps für Lieferdienste und Unternehmenskommunikation versteckt

[datensicherheit.de, 07.04.2026] Kaspersky hat in einer Mitteilung zu Ostern 2026 gewarnt, dass sich demnach eine neue Variante der „SparkCat“-Malware verbreitet – und zwar über legitime Apps wie Messenger und Lieferdienste in „Google Play“ und im „App Store“. Somit stelle diese eine Bedrohung für Smartphone-Nutzer dar. Diese Schadsoftware könne heimlich auf Fotos zugreifen und sie nach sensiblen Informationen wie Zugangsdaten zu „Krypto-Wallets“ durchsuchen. Dabei scheinen die Angreifer laut Kaspersky regional unterschiedliche Taktiken anzuwenden: Während die „Android“-Version Nutzer in Asien ins Visier nehme, könne die „iOS“-Variante weltweit aktiv werden.

Neue Version von „SparkCat“ über legitime, aber kompromittierte Apps verbreitet

Die neue Version von „SparkCat“ werde über legitime, aber kompromittierte Apps verbreitet, darunter Messenger für die Unternehmenskommunikation sowie eine Essensliefer-App.

• „Die Kaspersky-Experten identifizierten davon zwei infizierte Apps im ,App Store’ sowie eine im ,Google Play’.“

Des Weiteren seien diese Apps über Drittanbieter-Webseiten verbreitet worden. Einige davon imitierten den „App Store“, sofern sie von einem „iPhone“ aus aufgerufen werden.

Aktualisierte „Android“-Variante des Trojaners durchsucht Bildergalerien

Die aktualisierte „Android“-Variante des Trojaners durchsuche die Bildergalerien kompromittierter Geräte nach Screenshots mit bestimmten Schlüsselwörtern in japanischer, koreanischer und chinesischer Sprache. Kaspersky-Experten gingen daher davon aus, dass sich die Kampagne primär gegen „Krypto-Währungs“-Nutzer in Asien richtet.

• Die „iOS“-Variante hingegen suche nach englischsprachigen „Mnemonics“ von „Krypto-Wallets“. Dadurch ergebe sich ein potenziell deutlich größeres Zielgebiet, da Nutzer weltweit – unabhängig von ihrer Region – betroffen sein könnten.

Im Vergleich zu früheren Versionen von „SparkCat“ verfüge die aktuelle „Android“-Variante über mehrere zusätzliche Verschleierungsebenen, darunter Code-Virtualisierung und den Einsatz plattformübergreifender Programmiersprachen. Solche Techniken seien bei mobiler Malware bislang eher selten dokumentiert worden.

Schadcode inzwischen aus allen drei Apps entfernt

Kaspersky hat nach eigenen Angaben die identifizierten schädlichen Anwendungen an Google und Apple gemeldet. Der Schadcode sei inzwischen aus allen drei Apps entfernt worden.

• „Die aktualisierte Variante von ,SparkCat’ fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie des Nutzers, ähnlich wie bereits die erste Version des Trojaners“, erläutert Sergey Puzan, Cybersicherheitsexperte bei Kaspersky.

Anschließend analysiere diese mithilfe eines OCR-Moduls den Text in den gespeicherten Bildern. „Erkennt die Schadsoftware relevante Schlüsselwörter, wird das entsprechende Bild an die Angreifer übermittelt.“

Angreifer steigern Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen offizieller App-Stores zu umgehen

Puzan führt weiter aus: „Aufgrund der starken Ähnlichkeiten gehen wir davon aus, dass hinter beiden Versionen dieselben Entwickler stehen. Diese Kampagne verdeutlicht einmal mehr, wie wichtig Sicherheitslösungen für Smartphones sind, um sich vor vielfältigen Cyberbedrohungen zu schützen!“

• Dmitry Kalinin, Cybersicherheitsexperte bei Kaspersky, bemerkt ergänzend: „,SparkCat’ stellt eine sich kontinuierlich weiterentwickelnde Bedrohung für mobile Geräte dar.“ Die Angreifer erhöhten die Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen der offiziellen App-Stores zu umgehen.

Zudem seien Methoden wie Code-Virtualisierung und der Einsatz plattformübergreifender Programmiersprachen für mobile Malware ungewöhnlich und sprächen für ein „hohes technisches Niveau der Angreifer“.

Infizierte Apps ollten umgehend vom Gerät entfernt werden

Kaspersky-Produkte sollen die neue „SparkCat“-Version unter „HEUR:Trojan.AndroidOS.SparkCat.“ und „HEUR:Trojan.IphoneOS.SparkCat.“ erkennen.

Kaspersky-Tipps zum Schutz vor „SparkCat“:

• Die infizierte App umgehend vom Gerät entfernen und nicht mehr verwenden!
• Keine Screenshots mit sensiblen Informationen, einschließlich Wiederherstellungsphrasen für „Krypto-Wallets“ erstellen und speichern!
• App-Berechtigungen stets überprüfen – bittet eine App um Erlaubnis, auf die Fotobibliothek des Geräts zuzugreifen, sollte geprüft werden, ob der Zugriff wirklich erforderlich ist!
• Passwörter wie auch Wiederherstellungsphrasen für „Krypto-Wallets“ in dedizierten Passwort Managern (wie z.B. „Kaspersky Password Manager“) speichern!
• Alle Geräte mit einer robusten mobilen Sicherheitssoftware (wie z.B. „Kaspersky Premium“) schützen!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

kaspersky, Dmitry Kalinin & Sergey Puzan, 07.02.2025
Take my money: OCR crypto stealers in Google Play and App Store

datensicherheit.de, 21.03.2026
Zimperium warnt vor neuer Banking-Malware-Welle: 1.243 Apps kompromittiert / Zimperium-Sicherheitsforscher stufen aufgedeckte cyberkriminelle Aktivitäten als Bestandteil ausgeklügelter und skalierbarer Kampagnen ein

datensicherheit.de, 31.01.2026
Spionagewerkzeug GhostChat: Gefälschte Dating-App als Köder / Aktuelle, von ESET entdeckte „GhostChat“-App-Kampagne zeigt, wie wirksam soziale Manipulation ist