MalwareCyberkriminalitätDatenschutz

26 betrügerische Wallet-Apps im Apple App Store entdeckt – Kryptoguthaben in Gefahr

26 betrügerische Wallet-Apps im Apple App Store entdeckt – Kryptoguthaben in Gefahr
Zusammenfassung

Sicherheitsforscher haben 26 bösartige Apps im Apple App Store entdeckt, die beliebte Kryptowallet-Anwendungen imitieren und darauf abzielen, Recovery-Phrasen und private Schlüssel von Nutzern zu stehlen. Die unter dem Namen FakeWallet zusammengefassten Apps geben sich als bekannte Wallets wie MetaMask, Coinbase, Ledger oder Trust Wallet aus und täuschen Benutzer mit absichtlichen Tippfehlern in den App-Namen (etwa „LeddgerNew"). Einmal installiert, leiten die Apps Nutzer zu gefälschten App-Store-ähnlichen Seiten weiter, um trojanisierte Versionen der echten Wallets zu verteilen. Besonders betroffen sind Nutzer mit auf China eingestellten Apple-Accounts, da die Apps hauptsächlich über diese Region verbreitet wurden. Experten vermuten dahinter chinesischsprachige Cyberkriminelle, möglicherweise verbunden mit der früheren SparkKitty-Kampagne. Für deutsche Nutzer, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar: Während die Bedrohung derzeit primär iOS-Nutzer in China betrifft, zeigt der Fall, wie Apple's strenge Sicherheitsprüfungen umgangen werden können. Deutsche Kryptoinvestoren sollten ihre Konten überprüfen, Unternehmen ihre Sicherheitsrichtlinien anpassen, und Behörden könnten von ähnlichen Kampagnen betroffen sein.

Die FakeWallet-Kampagne ist ein Lehrbuchbeispiel für die zunehmende Professionalität von Kryptokriminellen. Die 26 identifizierten Apps imitierten bekannte Wallet-Anwendungen wie Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket und Trust Wallet. Laut Kaspersky-Forscher Sergey Puzan wurden die Apps speziell entwickelt, um Recovery Phrases und private Schlüssel zu kapern.

Besonders raffiniert ist die Verteilungsmethode: Die Apps waren direkt im Apple App Store verfügbar – allerdings nur für Nutzer, deren Apple-Konto auf die chinesische Region eingestellt ist. Dies umgeht bisherige geografische Sicherheitsbarrieren des App Stores und deutet auf gezielt entwickelte Evasionsmechanismen hin.

Die Angreifer nutzen mehrere Techniken, um Seed Phrases abzugreifen. Einige Apps lenken Nutzer auf Phishing-Seiten, die wie echte Wallet-Interfaces aussehen und Nutzer zur Eingabe ihrer Recovery Phrases auffordern – angeblich zu Verifizierungszwecken. Andere Apps injizieren bösartige Code-Module, die das Eingabefeld für Recovery Phrases “abhaken” und die eingegebenen Daten an externe Server übermitteln. Besonders bemerkenswert: Ein Modul nutzt optische Zeichenerkennung (OCR), um Recovery Phrases automatisch zu erfassen.

Kaspersky-Forscher vermuten Verbindungen zur SparkKitty-Trojan-Kampagne des Vorjahres. Beide Operationen deuten auf native Chinesisch-Sprecher hin und folgen ähnlichen Taktiken bei der Zielausrichtung auf Kryptovermögen.

Das Vorgehen zeigt ein weiteres Muster in der Kryptokriminellen-Szene: Angreifer diversifizieren zunehmend ihre Techniken. Während die FakeWallet-Apps direkt aus dem App Store kommen, setzen andere Malware-Familien wie MiningDropper auf Android-Geräte ab. Dieses Framework kombiniert Krypto-Mining mit Informationsdiebstahl und Banking-Malware und wurde über trojanisierte Versionen der Open-Source-App Lumolight verbreitet.

Für deutsche Nutzer ist die unmittelbare Gefahr begrenzt, solange ihre Apple-Region nicht auf China eingestellt ist. Allerdings zeigt die Entdeckung: Die Sicherheitskontrollen selbst großer App-Stores haben Lücken. Nutzer sollten daher verstärkt auf verdächtige Tippfehler in App-Namen achten, Wallets nur von verifizierten Quellen herunterladen und ihre Recovery Phrases unter keinen Umständen digital eingeben.

Ähnliche Artikel