Inhaltsverzeichnis
Trojaner SparkKitty – alles Wissenswerte zusammengefasst
SparkKitty ist ein junger, aber bereits gefürchteter Smartphone-Trojaner. Er zielt auf Android- und iOS-Geräte und späht vor allem Fotos aus, um darin sensible Informationen wie die Seed-Phrasen von Krypto-Wallets zu finden. Die Malware gelangte sogar in den offiziellen App-Stores und verbreitet sich zusätzlich über manipulierte Downloads.
In diesem Beitrag erfahren Sie, wo SparkKitty herkommt, wie er arbeitet, welche Risiken er birgt und welche Schutzmaßnahmen jetzt wichtig sind.
Herkunft und aktuelle Entdeckung
Sicherheitsforscher von Kaspersky entdeckten SparkKitty im Juni 2025, als sie verdächtige Links zu einer vermeintlichen TikTok-Mod analysierten. Parallel berichtete connect von einer App „币 coin“ im Apple App Store, die Fotos abgriff und zugleich Kryptodaten auslesen konnte. Die Analyse ergab, dass SparkKitty technisch eng mit der älteren Kampagne SparkCat verwandt ist, aber breiter vorgeht: Er stiehlt alle Bilder statt nur bestimmte Screenshots. Erste Infektionen ließen sich bis Anfang 2024 nachverfolgen, doch der großflächige Ausbruch begann erst dieses Jahr. Damit ist SparkKitty ein Beispiel dafür, wie sich Mobil-Malware unbemerkt weiterentwickelt und selbst strenge Store-Kontrollen umgehen kann.
Verbreitungswege und Infektionsmethoden
SparkKitty nutzt zwei Hauptwege, um auf Ihr Smartphone zu gelangen. Erstens kapert er legitime Apps in den offiziellen Stores. So befand sich der Schadcode in der Android-App „SOEX“ mit mehr als 10.000 Downloads und in der iOS-App „币 coin“, die beide inzwischen entfernt wurden. Zweitens verbreiten die Angreifer manipulierte Versionen bekannter Programme über Webseiten, die denen des App Store täuschend ähnlichsehen. Dafür missbrauchen sie Enterprise-Provisioning-Profile von Apple: Nutzer installieren ein Zertifikat, bestätigen mehrere Dialoge – und eröffnen SparkKitty Tür und Tor. Auf Android setzen die Täter zusätzlich auf bösartige Xposed-Module, die sich in Glücksspiel- oder Börsen-Apps einnisten. Beide Varianten verbinden sich nach der Installation mit einem Steuer-Server und holen weitere Befehle nach.
Arbeitsweise auf dem infizierten Gerät
Nach der Installation fordert SparkKitty sofort Zugriff auf Ihre Fotogalerie. Gewähren Sie diese Berechtigung, beginnt der Trojaner, sämtliche Bilder in kleinen Paketen an einen Command-and-Control-Server hochzuladen. Die Schadsoftware legt eine lokale Datenbank an, um nicht versehentlich doppelte Dateien zu übertragen, und überwacht kontinuierlich jede Änderung im Album. Auf iOS verbirgt sich der Code in manipulierten Frameworks wie „AFNetworking.framework“, die beim App-Start automatisch geladen werden. Unter Android hängt SparkKitty als Bibliothek oder Xposed-Modul an.
Neben Fotos sendet der Trojaner Metadaten wie Geräte-ID, App-Name und Betriebssystemversion mit. Das Vorgehen ist technisch simpel, aber äußerst effektiv, weil Bilder häufig sensible Informationen enthalten – etwa Ausweisscans, Verträge oder eben Screenshots Ihrer Wallet-Seeds.
Risiken für Ihre Kryptowährungen und persönlichen Daten
Das größte Risiko besteht darin, dass SparkKitty Screenshots mit Wiederherstellungsphrasen von Krypto-Wallets abgreift. Hat ein Angreifer diese 12 oder 24 Wörter, kann er Ihr gesamtes Guthaben transferieren, ohne zusätzliche Passwörter zu kennen. Ebenso kritisch sind Fotos von Ausweisdokumenten, TAN-Listen oder Kreditkarten. Laut Kaspersky zielt die aktuelle Kampagne primär auf Nutzer in Südostasien und China, doch technisch gibt es keine Regionalsperren. Cyber-Kriminelle könnten die Bilder per Texterkennung automatisiert auswerten oder manuell durchsuchen, um schnell an verwertbare Daten zu gelangen. Selbst wer keine Kryptowährungen besitzt, riskiert Identitätsdiebstahl und Erpressungsversuche, wenn vertrauliche Aufnahmen in falsche Hände geraten. Deshalb sollten Sie SparkKitty ernst nehmen, auch wenn Ihr Gerät bisher unauffällig erscheint.
Konkrete Schutz- und Gegenmaßnahmen
Sie mindern das Risiko, indem Sie Apps ausschließlich aus vertrauenswürdigen Quellen beziehen und Zugriffsrechte kritisch prüfen. Installieren Sie niemals Enterprise-Profile, wenn Sie die Herkunft nicht zweifelsfrei bestätigen können. Auf Android hilft es, die Option „Unbekannte Quellen“ dauerhaft deaktiviert zu lassen. Eine Mobile-Security-App mit aktueller Signaturerkennung kann SparkKitty und ähnliche Stealer erkennen und entfernen. Löschen Sie verdächtige Anwendungen sofort und ändern Sie gegebenenfalls alle Passcodes sowie Wallet-Seeds. Bewahren Sie Fotos mit sensiblen Informationen möglichst nicht in der Standard-Galerie auf. Ein verschlüsselter Tresor oder ein Passwort-Manager mit geschütztem Dateibereich bietet zusätzlichen Schutz.
Halten Sie Ihr Betriebssystem und alle Apps aktuell, denn viele Malware-Kampagnen scheitern bereits an geschlossenen Sicherheitslücken. Bleiben Sie aufmerksam und informieren Sie sich regelmäßig über neue Bedrohungen.