Ausgeklügelte Phishing-Masche zielt auf Cold und Hot Wallets
- Möglicherweise SparkKitty-Akteur verantwortlich
- Malware tarnt sich als Metamask und Ledger
Gefälschte Krypto-Wallets-Apps im App Store stellen eine wachsende Bedrohung für Apple-Nutzer dar: die Sicherheitsexperten von Kaspersky haben 26 betrügerische Apps identifiziert, die sich unter anderem als bekannte Anbieter wie Metamask, Ledger oder Coinbase tarnen [1]. Hinter scheinbar harmlosen Funktionen wie Spielen oder Tools verbirgt sich eine ausgeklügelte Phishing-Masche, die Nutzer zur Installation manipulierter Anwendungen verleitet. Diese können sowohl Hot- als auch Cold-Wallets kompromittieren und den Angreifern Zugriff auf Krypto-Vermögen verschaffen.
Insgesamt identifizierten die Experten von Kaspersky 26 Apps, die sich derzeit im App Store als bekannte Krypto-Wallets ausgeben, indem sie deren Logos kopieren und ähnliche App-Namen verwenden. Betroffen sind unter anderem:
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Diese Apps tarnen sich durch scheinbar harmlose Funktionen wie Spiele, Taschenrechner oder Aufgabenlisten, um legitim zu wirken. Nach dem Download und Starten der Apps wird jedoch eine Webseite geöffnet, die den App Store imitiert und zum erneuten Download einer angeblichen App zur Verwaltung von Krypto-Assets auffordert.
Der weitere Ablauf ähnelt der bekannten iOS-Malware SparkKitty [2]. Mithilfe spezieller Entwicklertools zur Verteilung von Unternehmens-Apps wird versucht, Nutzer zur Installation eines Entwicklerprofils zu bewegen. Ziel ist es, Verwirrung zu stiften und Unachtsamkeit auszunutzen, um die Installation einer schädlichen App zu ermöglichen.
Angreifer haben es sowohl auf Hot als auch Cold Wallets abgesehen
Durch die Zustimmung zur Installation eines Entwicklerprofils können Apps außerhalb des App Stores installieren werden, einschließlich manipulierter Anwendungen. In der Folge wird eine mit einem Trojaner verseuchte Krypto-Wallet-App installiert. Diese ist jeweils auf die imitierte Wallet zugeschnitten und zielt sowohl auf Hot- als auch auf Cold-Wallets ab.
Eine Hot Wallet speichert private Schlüssel auf demselben internetfähigen Gerät, auf dem sie installiert ist. Das macht sie besonders komfortabel für die häufige Nutzung, erhöht jedoch gleichzeitig das Risiko von Angriffen. Eine Cold Wallet hingegen ist ein dediziertes Hardware-Gerät, das private Schlüssel vollständig offline speichert. Dadurch ist sie in der Handhabung weniger komfortabel, bietet aber ein deutlich höheres Maß an Sicherheit. Bei Hot Wallets nutzen Angreifer eine Malware, die Bildschirmdarstellungen während der Wallet-Erstellung oder -Wiederherstellung abfängt, um an die Seed-Phrase zu gelangen. Wird diese kompromittiert, erhalten Angreifer vollständigen Zugriff auf die Guthaben der Betroffenen. Bei Cold Wallets verhält sich dies anders: Der Krypto-Wallet-Anbieter Ledger stellt beispielsweise eine Nutzeroberfläche in Form einer Smartphone-App bereit, während die eigentlichen privaten Schlüssel auf einem separaten Hardware-Gerät gespeichert sind. Transaktionen werden nur dann signiert, wenn dieses Gerät physisch oder per Bluetooth mit dem Smartphone verbunden ist. Die legitime Ledger-App fragt niemals nach der Seed-Phrase, da diese ausschließlich auf dem Hardware-Gerät gespeichert ist. Hier setzen Angreifer also stattdessen auf Phishing und versuchen, Nutzer zur Preisgabe ihrer Seed-Phrase zu bewegen.
„Die Apps, die die Angriffskette in Gang setzen, sind per se nicht schädlich, führen jedoch letztlich dazu, dass ein Trojaner installiert wird“, erklärt Sergey Puzan, Experte für mobile Malware bei Kaspersky. „Durch die Zahlung einer Gebühr und die Einrichtung eines Entwicklerkontos können Angreifer jedes iOS-Gerät ins Visier nehmen, sofern Nutzer auf die Phishing-Taktik hereinfallen. Auch auf vermeintlich sicheren Geräten wie iPhones sollten die Risiken bei der Verwaltung von Krypto-Wallets nicht unterschätzt werden. Wir gehen davon aus, dass weitere trojanisierte Krypto-Apps nach einem ähnlichen Muster verbreitet werden.“
Obwohl offizielle iOS-Apps dieser Wallets im chinesischen App Store nicht verfügbar sind, richteten sich nahezu bisher alle entdeckten Phishing-Anwendungen speziell an Nutzer in China. Die schädlichen Funktionen der Apps unterliegen jedoch keinen regionalen Einschränkungen, sodass auch Nutzer außerhalb Chinas betroffen sein können. Kaspersky hat die identifizierten Apps an Apple gemeldet.
Kaspersky-Tipps zum Schutz
- Vorsicht bei Links in Apps walten lassen, insbesondere wenn eine Seite unerwartet erscheint.
- Entwicklerprofile nur installieren, wenn sie vom Arbeitgeber bereitgestellt werden.
- Die Wiederherstellungsphrase ausschließlich auf dem eigenen Wallet-Gerät eingeben. Seriöse Apps wie die Original-App von Ledger Wallet fordern diese niemals an.
- Vor der Installation prüfen, ob die App von einem vertrauenswürdigen Anbieter stammt, auch bei Downloads aus dem App Store. Download-Links zusätzlich auf der offiziellen Website des Entwicklers verifizieren.
- Eine robuste Sicherheitslösung wie Kaspersky Premium [3] nutzen, um alle Endgeräte vor Bedrohungen zu schützen.
Weitere Informationen sind verfügbar unter https://securelist.com/fakewallet-cryptostealer-ios-app-store/119482/
[1] https://securelist.com/fakewallet-cryptostealer-ios-app-store/119482/
Nützliche Links:
- Kaspersky-Analyse zu gefälschten Krypto-Wallets im App Store: https://securelist.com/fakewallet-cryptostealer-ios-app-store/119482/
- Kaspersky Premium: https://kas.pr/re3t
