SparkCat und Venom Stealer: Neue Malware-Welle bedroht Krypto-Wallets

Forscher warnen vor einer neuen Generation hochautomatisierter Handy-Schadsoftware, die gezielt Kryptowährungen stiehlt. In der ersten Aprilwoche 2026 haben Cybersicherheitsexperten eine alarmierende Zunahme an ausgeklügelten Angriffen dokumentiert. Die Bedrohungen umgehen geschickt die Sicherheitsprüfungen der App-Stores und zielen direkt auf digitale Vermögenswerte ab.

Banking, Kryptowährungen und private Daten – auf keinem anderen Gerät speichern wir so viele sensible Informationen wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. Jetzt 5 Schutzmaßnahmen kostenlos entdecken

SparkCat-Trojaner: Die unsichtbare Gefahr in der Fotogalerie

Am 3. April 2026 enthüllten Sicherheitsforscher eine getarnte Version des SparkCat-Trojaners. Diese Schadsoftware hat es geschafft, die Kontrollen sowohl im Apple App Store als auch bei Google Play zu passieren. Ihr Ziel ist nicht die Erfassung von Login-Daten, sondern die Fotogalerie des Nutzers.

Der Trojaner nutzt ein integriertes OCR-Modul (Optical Character Recognition), um Screenshots und gespeicherte Bilder nach spezifischen Schlüsselwörtern zu durchsuchen. Gesucht werden die 12- oder 24-Wort-Wiederherstellungsphrasen von Krypto-Wallets. Die Malware tarnt sich als harmlose Utility- oder Foto-App und fordert umfassende Datei- und Foto-Berechtigungen. Wird eine Phrase gefunden, wird das Bild sofort an einen Server der Angreifer übertragen.

„Diese Methode ist besonders effektiv, weil viele Nutzer trotz aller Warnungen weiterhin digitale Kopien ihrer Recovery-Phrases in ihrer Galerie speichern“, so ein Sicherheitsexperte. Mindestens drei infizierte Apps wurden diese Woche aus den offiziellen Stores entfernt. Die Malware wird aber auch über Drittseiten und Social-Engineering-Kampagnen verbreitet.

Venom Stealer: Cyberkriminalität als Abo-Service

Bereits am 1. April 2026 meldete das Sicherheitsunternehmen BlackFog den Start einer neuen Malware-as-a-Service (MaaS)-Plattform namens Venom Stealer. Das „Informations-Diebesgut“ wird an vorgeprüfte Cyberkriminelle für Preise ab 250 US-Dollar pro Monat vermietet.

Die Plattform ermöglicht sogenannte „ClickFix“-Angriffe. Dabei werden Nutzer mit gefälschten Meldungen – etwa zu Cloudflare-CAPTCHAs, Systemupdates oder SSL-Zertifikatsfehlern – getäuscht, schädliche Befehle auf ihrem Gerät auszuführen. Die große Gefahr: Venom Stealer kann fortschrittliche Verschlüsselungen wie die von Chrome (v10 und v20) umgehen und so gespeicherte Passwörter und Session-Cookies erbeuten.

Für Krypto-Nutzer ist die Bedrohung unmittelbar: Der Infostealer extrahiert Wallet-Vaults aus Chromium- und Firefox-Browsern. Die gestohlenen Daten werden dann von einer GPU-beschleunigten Crack-Engine verarbeitet, um Gelder über neun verschiedene Blockchains zu transferieren. Die Malware verbleibt zudem dauerhaft auf dem Opfergerät, um nach neuen Zugangsdaten zu suchen.

Cifrat RAT: Die Android-Fernsteuerung für Betrug in Echtzeit

Ebenfalls am 3. April veröffentlichte CERT Polska eine Analyse zu einem neuen Android-Remote Access Trojan (RAT) mit dem Namen „cifrat“. Diese hoch entwickelte Malware nutzt ein mehrstufiges Dropper-System, um Mobil-Sicherheitssoftware zu umgehen.

Die Infektion beginnt typischerweise mit einer Phishing-E-Mail, die auf eine gefälschte App-Update-Seite führt. Die installierte APK dient als Hülle, die eine zweite Schadstoff-Stufe entschlüsselt – getarnt als „Google Play Services“. Diese installiert schließlich das finale Modul.

Da herkömmliche App-Store-Prüfungen oft versagen, empfehlen IT-Experten zusätzliche Sicherheitsvorkehrungen für jedes Mobilgerät. Erfahren Sie in diesem Gratis-Leitfaden, wie Sie WhatsApp, PayPal und Co. endlich sicher nutzen und Ihre Daten vor Missbrauch schützen. Kostenlosen Sicherheits-Ratgeber für Android herunterladen

Die Payload ist ein funktionsreicher RAT, der die Barrierefreiheits-Funktionen von Android missbraucht, um die totale Kontrolle über das Gerät zu erlangen. Spezielle Module überwachen hochwertige Apps wie Binance, Coinbase und andere Krypto-Wallets. Cifrat unterstützt Keylogging, Screen-Streaming und Overlay-Injections, um gefälschte Login-Masken über legitime Finanz-Apps zu legen. Durch getrennte Kontroll- und Datenkanäle können Angreifer Betrug in Echtzeit durchführen und aktive Sitzungen kapern, um Transaktionen zu autorisieren.

Analyse: Cyberangriffe werden „demokratisiert“

Die Entwicklungen der Woche unterstreichen einen Trend zur „Demokratisierung“ hochwertiger Cyberangriffe. Tools wie der CrystalX RAT, der laut Kaspersky ebenfalls als MaaS angeboten wird, ermöglichen auch weniger versierten Akteuren den Einsatz ausgeklügelter Clipper und Keylogger.

Selbst das FBI warnte am 1. April vor den Sicherheitslücken in vielen ausländischen Mobil-Apps. Schadcode könne in beliebte Apps eingeschleust werden, um Hintertüren für erweiterte Berechtigungen zu schaffen. Diese Entwicklung zwingt zu einem Umdenken: Die traditionelle Abhängigkeit von App-Store-Überprüfungen reicht nicht mehr aus. Professionell designte Exploit-Plattformen wie DarkSword (für ältere iOS-Versionen) zeigen, dass beide Ökosysteme verwundbar bleiben.

Ausblick: KI und die entscheidende Rolle des Nutzers

Die Cybersicherheits-Community erwartet einen vermehrten Einsatz von Künstlicher Intelligenz, um die Entwicklung mobiler Malware weiter zu automatisieren. Englischsprachige Varianten der Perseus-Malware deuten bereits auf KI-unterstützte Entwicklung hin.

Als Reaktion dürften die Entwickler der Mobil-Betriebssysteme in künftigen Android- und iOS-Versionen strengere Beschränkungen für Barrierefreiheitsdienste und Hintergrundprozesse einführen. Für die unmittelbare Zukunft betonen Experten jedoch, dass das Nutzerverhalten die wichtigste Verteidigungslinie bleibt.

Die Empfehlung für Krypto-Besitzer ist klar: Größere Beträge gehören nicht in Software-Wallets auf dem Smartphone, sondern in Hardware-Wallets, die eine physische Bestätigung für Transaktionen benötigen. Der Erfolg der OCR-basierten Diebstähle unterstreicht zudem die dringende Notwendigkeit, alle Bilder sensibler Daten aus cloud-synchronisierten Fotogalerien zu löschen. Da Angreifer ihre „Hit-and-Run“-Taktiken verfeinern, schließt sich das Zeitfenster zur Entdeckung einer Infektion, bevor eine Wallet geleert wird. Proaktive Sicherheitsmaßnahmen und zeitnahe System-Updates sind daher wichtiger denn je.

boerse | 69068225 |