So entfernen Sie SparkCat Malware von Ihrem Android Gerät
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist SparkCat?
SparkCat ist eine plattformübergreifende Malware, die auf iPhones und Android-Geräte abzielt. Diese Schadsoftware gibt es mindestens seit dem Frühjahr 2024. Sie zielt darauf ab, Kryptowährungs-Wallet-Schlüssel zu stehlen, indem sie die OCR-Funktionalität nutzt.
SparkCat wurde über offizielle und Drittanbieter-App-Stores verbreitet. Die Kampagnen, die diese Malware verbreiten, zielen auf Benutzer in Europa, Asien und möglicherweise Afrika ab.
Überblick über die Malware SparkCat
SparkCat ist eine stark verschleierte Malware. Sie wurde sowohl über trojanisierte Apps als auch über als legitime Software getarnte Apps verbreitet. Wie die meiste Android/iOS-Malware fordert SparkCat die erforderlichen Berechtigungen an, um seine bösartigen Aktivitäten durchzuführen.
Die Opfer werden mit der Anfrage konfrontiert, wenn sie entweder mit der Hauptfunktion der gefälschten/trojanisierten Anwendung interagieren oder wenn sie versuchen, die Support-Chat-Funktion zu nutzen. SparkCat benötigt die Erlaubnis, auf die Galerie des Geräts zuzugreifen - daher kann es eine überzeugende List sein, da die Benutzer möglicherweise Bilder an den Support senden möchten.
Das Ziel dieser Malware ist es, die Wiederherstellungsschlüssel (d. h. die Anmeldedaten) von Kryptowährungs-Wallets zu stehlen. SparkCat versucht dies, indem es Bilder durchsucht, die die Schlüssel enthalten, und nutzt eine OCR-Komponente (optische Zeichenerkennung), die mit dem Google ML Kit (Paket für maschinelles Lernen für Android- und iOS-Anwendungen) erstellt wurde.
Das verwendete OCR-Modell wird auf der Grundlage der Systemsprache ausgewählt. Es kann lateinische, chinesische, japanische und koreanische Alphabete lesen. Es ist bekannt, dass SparkCat die folgenden Sprachen ins Visier genommen hat: Chinesisch, Tschechisch, Englisch, Französisch, Italienisch, Japanisch, Koreanisch, Polnisch und Portugiesisch.
Eine der von SparkCat verwendeten App-Tarnungen - eine App für die Lieferung von Lebensmitteln - stand jedoch auch in Indonesien, Kasachstan, den Vereinigten Arabischen Emiraten (VAE) und Simbabwe zum Download bereit. Daher ist es möglich, dass SparkCat auch auf Benutzer in diesen Ländern (und anderen) abzielt.
Die Malware kann die Bilddateien der Opfer nach bestimmten Schlüsselwörtern durchsuchen und weitere Informationen von ihrem C&C-Server (Command and Control) erhalten. Wenn ein Bild von Interesse gefunden wird, wird es heruntergeladen. SparkCat sucht zwar hauptsächlich nach Anmeldedaten für Kryptowährungen, kann aber auch andere sensible/wertvolle Bilder und Fotos exfiltrieren.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie SparkCat auf Geräten zu ernsthaften Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | SparkCat virus |
| Bedrohung Typ | Android-Malware, bösartige Anwendung |
| Namen der Erkennung | Avast-Mobile (APK:RepMalware [Trj]), BitDefenderFalx (Android.Riskware.Agent.gHWVX), DrWeb (Android.CoinSteal.SparkCat.1.origin), ESET-NOD32 (Eine Variante von Android/Spy.SparkCat.B), Kaspersky (HEUR:Trojan.AndroidOS.Piom.biev), vollständige Liste (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in das Gerät des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Monetäre Verluste, gestohlene persönliche Informationen. |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Android-spezifische Malware-Beispiele
Wir haben zahlreiche bösartige Programme untersucht; FireScam, NoviSpy, EagleMsgSpy und AppLite Banker sind nur einige unserer neuesten Artikel über Android-Malware.
Schadsoftware kann ein sehr spezifisches Ziel haben (wie SparkCat) oder ein breites Spektrum an Funktionen. Doch unabhängig davon, wie Malware arbeitet - ihre Präsenz auf einem System bedroht die Integrität des Geräts und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat SparkCat mein Gerät infiltriert?
Es wurde beobachtet, dass SparkCat über gefälschte und trojanisierte Anwendungen verbreitet wird. Dieses bösartige Programm wurde sowohl über Drittanbieter als auch über offizielle App Stores verbreitet, darunter der Google Play Store und der Apple App Store. SparkCat wurde beispielsweise über den Play Store als KI (Künstliche Intelligenz) Chat-App - ChatAi - verbreitet, die über 50 Tausend Mal heruntergeladen wurde, und als App für einen Essenslieferdienst - ComeCome - die über 10 Tausend Mal heruntergeladen wurde.
Die bekannten Beispiele von SparkCat wurden insgesamt über 240 Tausend Mal heruntergeladen (eine Liste der infizierten Android-APKs und iOS-Frameworks finden Sie unten).
Diese Software könnte jedoch auch über andere Methoden verbreitet werden. Neben dem Missbrauch seriöser Download-Kanäle und dem Vertrauen auf Drittanbieter-Quellen verbreiten Cyber-Kriminelle Malware häufig über Drive-by-Downloads (heimliche/trügerische Downloads), bösartige Anhänge/Links in Spam (z. B. E-Mails, PMs/DMs, SMS usw.), Malvertising, Online-Betrug, illegale Software-Aktivierungs-Tools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir raten dringend dazu, Software vor dem Herunterladen oder Kauf zu recherchieren, indem Sie die Bedingungen und Experten-/Nutzerbewertungen lesen, die erforderlichen Berechtigungen überprüfen und die Legitimität des Entwicklers verifizieren. Außerdem müssen alle Downloads von offiziellen und vertrauenswürdigen Quellen stammen. Programme müssen mit legitimen Funktionen/Werkzeugen aktiviert und aktualisiert werden, da diese von Dritten erworbenen Programme Malware enthalten können.
Eine weitere Empfehlung ist, eingehende E-Mails und andere Nachrichten mit Vorsicht zu genießen. Anhänge oder Links in dubiosen/irrelevanten Mails dürfen nicht geöffnet werden, da sie bösartig sein können. Wachsamkeit ist beim Surfen unerlässlich, da betrügerische und gefährliche Online-Inhalte meist echt und harmlos erscheinen.
Wir müssen betonen, wie wichtig es ist, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßige System-Scans durchzuführen und Bedrohungen und Probleme zu entfernen.
Screenshots der SparkCat-Malware Android-Tarnungen (Bildquelle - Securelist):
Screenshots der SparkCat-Malware iOS-Tarnungen (Bildquelle - Securelist):
Liste der infizierten Android APK-Namen von Google Play:
com.crownplay.vanity.address; com.atvnewsonline.app; com.bintiger.mall.android; com.websea.exchange; org.safew.messenger; org.safew.messenger.store; com.tonghui.paybank; com.bs.feifubao; com.sapp.chatai; com.sapp.starcoin
Liste der BundleIDs, die innerhalb der iOS-Frameworks verschlüsselt sind:
im.pop.app.iOS.Messenger; com.hkatv.ios; com.atvnewsonline.app; io.zorixchange; com.yykc.vpnjsq; com.llyy.au; com.star.har91vnlive; com.jhgj.jinhulalaab; com.qingwa.qingwa888lalaaa; com.blockchain.uttool; com.wukongwaimai.client; com.unicornsoft.unicornhttpsforios; staffs.mil.CoinPark; com.lc.btdj; com.baijia.waimai; com.ctc.jirepaidui; com.ai.gbet; app.nicegram; com.blockchain.ogiut; com.blockchain.98ut; com.dream.towncn; com.mjb.Hardwood.Test; com.galaxy666888.ios; njiujiu.vpntest; com.qqt.jykj; com.ai.sport; com.feidu.pay; app.ikun277.test; com.usdtone.usdtoneApp2; com.cgapp2.wallet0; com.bbydqb; com.yz.Byteswap.native; jiujiu.vpntest; com.wetink.chat; com.websea.exchange; com.customize.authenticator; im.token.app; com.mjb.WorldMiner.new; com.kh-super.ios.superapp; com.thedgptai.event; com.yz.Eternal.new; xyz.starohm.chat; com.crownplay.luckyaddress1
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit SparkCat Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die SparkCat Malware verursachen kann?
Die mit einer Infektion verbundenen Bedrohungen hängen von den Fähigkeiten der Malware und den Zielen der Cyberkriminellen ab. SparkCat zielt auf die Wiederherstellungsschlüssel von Kryptowährungs-Geldbörsen (Anmeldedaten) ab, könnte aber auch andere sensible Inhalte suchen. Daher kann sie ernsthafte Datenschutzprobleme, finanzielle Verluste und potenziellen Identitätsdiebstahl verursachen.
Was ist der Zweck der SparkCat Malware?
Malware wird von Angreifern hauptsächlich eingesetzt, um Einnahmen zu generieren, und das ist in Anbetracht ihrer Fähigkeiten wahrscheinlich auch bei SparkCat der Fall. Andere Gründe für Malware-Infektionen sind die Unterbrechung von Prozessen (z. B. Websites, Dienste, Unternehmen usw.), Cyber-Kriminelle, die sich amüsieren oder persönlich rächen wollen, Hacktivismus und politische/geopolitische Beweggründe.
Wie hat die SparkCat-Malware mein Android-Gerät infiltriert?
SparkCat hat sich als gefälschte/trojanisierte Apps über Drittanbieter und offizielle App-Stores wie den Play Store und den App Store verbreitet. Andere Verbreitungsmethoden sind möglich. Zu den weit verbreiteten Techniken gehören Drive-by-Downloads, Online-Betrug, Spam-E-Mails/Nachrichten, Malvertising, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates. Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Combo Cleaner ist in der Lage, die meisten der bekannten Malware-Infektionen zu erkennen und zu entfernen. Denken Sie daran, dass die Durchführung eines vollständigen Systemscans von entscheidender Bedeutung ist, da sich hochentwickelte bösartige Software in der Regel tief im System versteckt.
Ausgezeichnet!
▼ Diskussion einblenden