Kaspersky dokumentierte SparkCat erstmals im Februar 2025. Bereits damals fiel die Fähigkeit des Trojaners auf, mithilfe eines OCR-Modells ausgewählte Bilder mit Wallet-Wiederherstellungsphrasen aus den Fotogalerien zu erkennen und an einen von den Angreifern kontrollierten Server zu übermitteln.

Die nun entdeckte Version zeigt, dass es sich um eine aktiv weiterentwickelte Bedrohung handelt. Die verbesserte Android-Variante bringt im Vergleich zu früheren Ausgaben mehrere zusätzliche Verschleierungsschichten mit. Dazu zählen der Einsatz von Code-Virtualisierung und plattformübergreifenden Programmiersprachen, um die Analyse zu erschweren. Diese Android-Version sucht nach japanischen, koreanischen und chinesischen Schlüsselwörtern, was auf einen Fokus auf den asiatischen Raum hindeutet.

Die iOS-Variante verfolgt dagegen einen anderen Ansatz: Sie durchsucht die Bilder nach mnemonischen Phrasen für Kryptowährungs-Wallets in englischer Sprache. “Das macht die iOS-Variante potenziell weitreichender, da sie Nutzer unabhängig von ihrer Region treffen kann”, erklärte das Unternehmen.

Kaspersky hatte die schädlichen Aktivitäten zuvor einem chinesischsprachigen Akteur zugeordnet. Die technischen Fortschritte der neuen Version unterstreichen die Fähigkeiten der dahinterstehenden Täter.

“Die aktualisierte Variante von SparkCat fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie eines Nutzers an – genau wie die allererste Version des Trojaners”, sagte Kaspersky-Forscher Sergey Puzan gegenüber The Hacker News. “Sie analysiert den Text in gespeicherten Bildern mithilfe eines Moduls zur optischen Zeichenerkennung.”

Findet die Schadsoftware passende Schlüsselwörter, sendet sie das betreffende Bild an die Angreifer. Aufgrund der Ähnlichkeiten zwischen dem aktuellen und dem früheren Exemplar geht Kaspersky davon aus, dass hinter der neuen Version dieselben Entwickler stehen.