MalwarePhishingCyberkriminalität

Chinesische Kryptowallet-Trojaner: 26 gefälschte Apps im Apple App Store entdeckt

Chinesische Kryptowallet-Trojaner: 26 gefälschte Apps im Apple App Store entdeckt
Zusammenfassung

Apples App Store ist erneut zum Ziel von Cyberkriminellen geworden, die Kryptowährungen stehlen wollen. Sicherheitsforscher von Kaspersky haben 26 bösartige Apps entdeckt, die bekannte Kryptowallet-Dienste wie MetaMask, Coinbase und Trust Wallet imitieren, um Nutzer zum Download zu verleiten. Die Angreifer nutzten dabei ausgefeilte Täuschungstechniken wie Typosquatting und gefälschte Branding, um Benutzer in China zu ködern. Da Krypto-Apps im Reich der Mitte eingeschränkt sind, verschleierte der Bedrohungsakteur die Apps als Spiele oder Rechner-Programme. Die Kampagne mit dem Namen FakeWallet wird der Hackertruppe SparkKitty zugeordnet, die bereits seit dem vergangenen Jahr aktiv ist. Sobald Nutzer die Apps öffnen, werden sie auf gefälschte Phishing-Seiten weitergeleitet, die echte Krypto-Services nachahmen und zum Download manipulierter Wallet-Apps bewegen. Die Malware stiehlt dann die wertvollen Recovery-Phrasen der Nutzer – die einzigen Schlüssel, die nötig sind, um Kryptowährungen zu stehlen. Obwohl die Kampagne primär China-Nutzer ins Visier nimmt, warnt Kaspersky, dass das Malware keine geografischen Beschränkungen hat. Apple hat die Apps bereits aus dem Store entfernt, doch der Vorfall unterstreicht erneut die Sicherheitsrisiken in App-Stores für deutsche Krypto-Nutzer.

Die Kampagne trägt den Namen „FakeWallet” und wird von Kaspersky-Forschern mit der bereits seit dem Vorjahr aktiven Operation „SparkKitty” verbunden. Die Funktionsweise der gefälschten Apps folgt einem perfiden Schema: Nachdem Nutzer die Anwendungen öffnen, werden sie auf Phishing-Seiten umgeleitet, die täuschend echt aussehende Portale der legitimen Kryptodienste imitieren. Von dort aus werden Opfer dazu verleitet, weitere trojanisierte Wallet-Apps herunter zuladen – ein Prozess, der iOS Provisioning Profiles ausnutzt. Diese normalerweise legitimen Enterprise-Features werden zweckentfremdet, um Malware auf die Geräte zu schleusen.

Einmal aktiviert, operieren die trojanisierten Apps heimtückisch: Sie protokollieren mnemonische Phrasen während der Wallet-Einrichtung oder des Recovery-Prozesses, verschlüsseln diese mit RSA und Base64 und senden sie an die Angreifer. Bei Hardware-Wallets wie Ledger setzen die Kriminellen auf In-App-Phishing-Prompts, die Nutzer über gefälschte Sicherheitsverifizierungen dazu bringen, ihre Seed-Phrasen manuell einzugeben.

Diese Seed-Phrasen sind das Herzstück der Wallet-Sicherheit: Sie ermöglichen es, eine Wallet auf neuen Geräten wiederherzustellen, erfordern aber keine zusätzlichen Passwörter. Haben Cyberkriminelle diese Daten, können sie die Wallets auf ihren eigenen Systemen rekonstruieren und die Vermögenswerte restlos abräumen – ohne dass Nutzer eine Chance auf Wiederherstellung haben.

Kaspersky zufolge konzentriert sich die Kampagne derzeit auf chinesische Nutzer, doch die Malware selbst kennt keine geografischen Grenzen. Sollten die Betreiber ihr Targeting ausweiten, könnten auch deutsche und europäische Kryptonutzer ins Visier geraten. Das besondere Risiko: Die Apps gelangte in den offiziellen App Store – eine Sicherheitsschicht, auf die viele Nutzer vertrauen.

Apple hat nach der verantwortungsvollen Offenlegung durch Kaspersky alle 26 FakeWallet-Apps aus dem App Store entfernt. Der Softwarekonzern antwortete jedoch nicht auf Fragen zur Durchlässigkeit der hauseigenen Sicherheitsprüfungen. Experten raten Kryptonutzern, den Publisher jeder heruntergeladenen App zu überprüfen – selbst im offiziellen App Store – und nur Links von offiziellen Websites zu nutzen. Ein ähnlicher Vorfall vor wenigen Wochen zeigt die Dimension des Problems: Eine gefälschte Ledger-Live-App entwendete 9,5 Millionen Dollar in Kryptowährungen von 50 macOS-Nutzern.

Ähnliche Artikel