Foto: Antlii/Shutterstock
Cybersecuritybedrijf Kaspersky Labs levert producten om de online veiligheid van bedrijven en consumenten te verhogen. Ook brengt het criminaliteit binnen de cryptowereld in kaart, zoals het toegenomen aantal phishing aanvallen. Toch ontkomt het van oorsprong Russische bedrijf ook zelf niet aan cybercriminaliteit. In enkele Software Development Kits (SDK) van Kaspersky is crypto malware aangetroffen.
Kwaadaardige software zoekt naar herstelzinnen
Ontwikkelaars vanuit de hele wereld gebruiken Kaspersky Software Development Kits om apps te bouwen voor de Google Play Store en Apple Store. Deze groep moet momenteel voorzichtig te werk gaan. Er is malware aangetroffen in enkele Apple- en Google apps voor op de mobiele telefoon. Dit schrijven twee analisten van Kaspersky in een rapport. De kwaadaardige software heet ‘SparkCat’ en hackers roven er crypto wallets mee leeg. Kaspersky waarschuwt op ‘X’ voor de gevaren van deze malware:
*Beware the shadows in your app store.*
SparkCat’s claws sink deeper. First iOS crypto-stealer lurks in official stores, hijacking Google’s ML Kit to scan your gallery for wallet phrases. 242k+ downloads.
Even a “trusted” food app hid its venom…. Your images? Stolen. Your… pic.twitter.com/BXR8XVz3t3
— Kaspersky (@kaspersky) February 6, 2025
Niet iedereen gaat na het aanmaken van een crypto wallet voorzichtig te werk. Sommige mensen maken een screenshot van hun herstelzin, om het niet te vergeten. Daarin schuilt het gevaar van ‘SparkCat’. Sergey Puzan en Dmitry Kalinin werken als analisten bij Kaspersky. In een rapport beschrijven ze de werkwijze van de malware:
“De indringers stelen herstelzinnen voor cryptowallets, waarmee ze volledige controle over de wallet van het slachtoffer krijgen en zo fondsen kunnen stelen.”
‘SparkCat’ gebruikt optische tekenherkenning. Dit betekent dat het cijfers, letters en leestekens van een afbeelding afleest. In dit geval gaat de malware op zoek naar screenshots met herstelzinnen. Daarvoor gebruikt het trefwoorden in verschillende talen. Is de zoektocht succesvol, dan vult de malware de herstelzin in voor toegang tot de crypto wallet. Hackers stelen vervolgens binnen enkele seconden de inhoud. In 2024 wisten crypto hackers meer dan 1,2 miljard dollar buit te maken. Een zorgelijke ontwikkeling voor de cryptomarkt en investeerders.
Naast het stelen van herstelzinnen richt ‘SparkCat’ nog veel meer schade aan, schrijven Kalinin en Puzan:
“De flexibiliteit van de malware maakt het mogelijk om niet alleen geheime zinnen te stelen, maar ook andere persoonlijke gegevens uit de galerij, zoals de inhoud van berichten of wachtwoorden die op screenshots zijn achtergebleven.”
Veel Android- en iOs-gebruikers al het slachtoffer
Android- en iOS-gebruikers vanuit de hele wereld zijn al de dupe van ‘SparkCat’. De meeste slachtoffers komen uit Europa en Azië. In een recensie van de Google-apps pagina laat een gedupeerde weten dat de kwaadaardige software ‘jouw afbeeldingen scant en persoonlijke informatie steelt’. Kaspersky schat in dat de malware sinds maart 2024 al 242.000 keer is gedownload. Ook Nederlanders ontkomen helaas niet aan verschillende vormen van crypto oplichting.
De kwaadaardige software is een groot probleem voor Google en Apple. Het zit inmiddels in tientallen echte en neppe apps in de Google Play Store en Apple Store. De geïnfecteerde apps hebben wel een aantal gemeenschappelijke kenmerken. Zo is er sprake van de programmeertaal Rust, die zelden wordt gebruikt in mobiele apps. Daarnaast gebruiken de geïnfecteerde apps vaak cross-platform-mogelijkheden en complexe technieken die het detecteren van crypto malware lastig maakt.
Volgens de analisten van Kaspersky is het erg risicovol om gevoelige informatie op te slaan op de telefoon. In plaats van screenshots is het verstandiger om de herstelzin te bewaren via een wachtwoordmanager. Daarnaast adviseert het drietal om verdachte software en geïnfecteerde apps onmiddellijk te verwijderen.
Waar komt de malware vandaan?
Het is onduidelijk hoe de malware precies in de apps is terechtgekomen. Mogelijk hebben ontwikkelaars bewust een Trojan ingebed.Dit betekent dat er malware verborgen zit binnen legitieme software. Gebruikers downloaden de schadelijke software zonder het te weten. Daar is echter geen bewijs voor. Een andere optie is een supply-chain-aanval, waarbij cybercriminelen bewust schadelijke code in updates, legitieme software en/of hardware installeren. Kalinin en Puzan zijn er nog niet over uit, maar schrijven er wel het volgende over:
“Sommige apps, zoals bezorgdiensten, lijken legitiem. Andere zijn duidelijk zijn ontworpen om slachtoffers te lokken. We hebben bijvoorbeeld verschillende vergelijkbare ‘messaging-apps’ met AI-functies gezien van dezelfde ontwikkelaar”
Waar de kwaadaardige software vandaan komt is eveneens een groot raadsel. Mogelijk zijn Kalinin en Puzan wel iets op het spoor. De foutbeschrijvingen en het commentaar in de code zijn geschreven in het Chinees: “Hierdoor hebben we reden om te geloven dat de ontwikkelaar van de kwaadaardige module vloeiend Chinees spreekt”. Kaspersky brengt regelmatig vormen van crypto-oplichting aan het licht, zoals oplichters die ironisch genoeg het geld van cryptodieven proberen te stelen. We houden onze volgers op de hoogte, volg ons op instagram.
Alle Nederlanders komen in aanmerking voor €10 gratis crypto
Bitcoin blijft stevig boven de $100.000 – analisten blijven positief. Is dit het laatste moment om in te stappen? Bitvavo geeft alle Nederlanders de kans: Alle nieuwe gebruikers ontvangen €10 gratis crypto naar keuze. Of je nu geïnteresseerd bent in bitcoin, ethereum, TRUMP of een andere cryptomunt – jij bepaalt. Een account maken duurt 1 minuut en is gratis.
Registreer je vandaag bij Nederlands grootste handelsplatform Bitvavo en ontvang direct €10 gratis crypto.
Het Crypto Congres komt er aan, 17 april in de Rai Amsterdam – met een bomvol programma. Bekijk het programma & early bird tickets
