Malware zum Lesen von Screenshots knackt erstmals die iPhone-Sicherheit

Februar 6, 2025 Eskere Guru

Im Bereich Smartphones gilt das Apple-Ökosystem als das sicherer . Auch unabhängige Analysen von Sicherheitsexperten haben dies im Laufe der Jahre immer wieder bestätigt . Aber Apples Leitplanken sind nicht unüberwindbar. Im Gegenteil, es scheint, dass schlechten Akteuren ein weiterer besorgniserregender Durchbruch gelungen ist.

Laut einer Analyse von Kaspersky wurde erstmals Malware mit OCR-Funktionen (Optical Character Recognition) im App Store entdeckt. Anstatt auf einem Telefon gespeicherte Dateien zu stehlen, scannte die Malware lokal gespeicherte Screenshots, analysierte den Textinhalt und leitete die erforderlichen Informationen an Server weiter.

Die Malware-Seeding-Operation mit dem Codenamen „SparkCat“ zielte auf Apps ab, die aus offiziellen Repositories – dem Play Store von Google und dem App Store von Apple – und Quellen von Drittanbietern stammen. Die infizierten Apps verzeichneten auf beiden Plattformen rund eine Viertelmillion Downloads.

Eine im App Store aufgeführte App, die mit Malware infiziert ist. — Kaspersky

Interessanterweise wurde die Malware auf der ML-Kit-Bibliothek von Google installiert, einem Toolkit, mit dem Entwickler maschinelle Lernfunktionen für die schnelle und Offline-Datenverarbeitung in Apps bereitstellen können. Dieses ML-Kit-System ermöglichte es dem Google OCR-Modell letztendlich, auf einem iPhone gespeicherte Fotos zu scannen und den Text mit vertraulichen Informationen zu erkennen.

Aber es scheint, dass die Malware nicht nur in der Lage war, kryptobezogene Wiederherstellungscodes zu stehlen . „Es muss beachtet werden, dass die Malware flexibel genug ist, um nicht nur diese Phrasen, sondern auch andere sensible Daten aus der Galerie zu stehlen, etwa Nachrichten oder Passwörter, die möglicherweise in Screenshots erfasst wurden“, heißt es in dem Bericht von Kaspersky.

Zu den angegriffenen iPhone-Apps gehörte ComeCome, das oberflächlich betrachtet wie eine chinesische Essensliefer-App aussieht, aber mit einer Screenshot-Leser-Malware ausgestattet war. „Dies ist der erste bekannte Fall, dass eine mit OCR-Spyware infizierte App auf dem offiziellen App-Marktplatz von Apple gefunden wird“, heißt es in der Analyse von Kaspersky.

Eine der mit OCR-Malware infizierten iPhone-Apps. — Kaspersky

Es ist jedoch unklar, ob die Entwickler dieser problematischen Apps an der Einbettung der Malware beteiligt waren oder ob es sich um einen Supply-Chain-Angriff handelte. Unabhängig vom Ursprung war die gesamte Pipeline recht unauffällig, da die Apps legitim wirkten und Aufgaben wie Nachrichtenübermittlung, KI-Lernen oder Essenslieferung erfüllten. Bemerkenswert ist, dass die plattformübergreifende Malware auch in der Lage war, ihre Präsenz zu verschleiern, was ihre Erkennung erschwerte.

Das Hauptziel dieser Kampagne bestand darin, Phrasen zur Wiederherstellung von Kryptowährungs-Wallets zu extrahieren, die es einem Kriminellen ermöglichen können, die Kryptowährungs-Wallet einer Person zu übernehmen und mit deren Vermögenswerten davonzukommen. Die Zielgebiete scheinen Europa und Asien zu sein, aber einige der auf der Hotlist aufgeführten Apps scheinen auch in Afrika und anderen Regionen aktiv zu sein.