iOS
Geklonte Krypto-Wallets
Als wir im März 2026 die chinesischen App Store-Charts unter die Lupe nahmen, entdeckten wir auf den besten Plätzen mehrere Phishing-Apps. Die Icons und Namen der Apps waren populären Verwaltungstools für Krypto-Wallets nachempfunden. Mehrere offizielle Wallet-Apps sind in China aufgrund regionaler Beschränkungen nicht verfügbar. Das kam den Angreifern sehr gelegen. Sie programmierten gefälschte Apps, versahen sie mit ähnlichen Icons wie die Originale und bauten absichtlich Tippfehler in die App-Namen ein. Genug, um die Beschränkungen von App Store zu umgehen und die Nutzer zu täuschen.
Phishing-Apps, die im App Store in den Suchergebnissen für Ledger Wallet (zuvor Ledger Live) erscheinen
Außerdem fanden wir auch Apps, deren Namen und Symbole nichts mit Krypto zu tun haben. Auf Werbebannern wurde jedoch behauptet, diese Apps würden den Download und die Installation von offiziellen Wallet-Apps ermöglichen, die im regionalen App Store nicht zu haben sind.
Banner auf App-Seiten behaupten, dass sie den Download der offiziellen TokenPocket-App ermöglichen, die im App Store für China gesperrt ist
Wir identifizierten insgesamt 26 Phishing-Apps, die die folgenden beliebten Wallets nachahmen:
- MetaMask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Einige Apps enthielten zwar keine Phishing-Funktionalität. Trotzdem gab es deutliche Hinweise darauf, dass sie von denselben Angreifern stammten. Wahrscheinlich sollen bei späteren Updates schädliche Funktionen hinzugefügt werden.
Um die Beschränkungen von App Store zu umgehen, fügten die Entwickler den Apps nützliche Funktionen hinzu, zum Beispiel ein Spiel, einen Taschenrechner oder einen Aufgabenplaner.
Die Installation eines solchen App-Klons bringt deine Krypto-Assets in höchste Gefahr. Zwar stehlen die Apps keine Kryptowährungen, Seed-Phrasen oder Passwörter. Sie dienen aber als Köder und erschleichen sich das Vertrauen der Nutzer, da sie im offiziellen App Store gelistet sind. Wird die App nach der Installation gestartet, öffnet sie im Browser eine Phishing-Website. Sie ähnelt dem App Store und fordert den Nutzer auf, eine kompromittierte Version der entsprechenden Krypto-Wallet zu installieren. Die Angreifer haben mehrere Versionen dieser bösartigen Module erstellt. Jede Version ist auf ein bestimmtes Wallet zugeschnitten. Alle technischen Details dieses Angriffs findest du in unserem Securelist-Beitrag.
Ein Opfer, das auf den Trick hereinfällt, wird zunächst aufgefordert, ein Provisioning-Profil zu installieren, mit dem Apps auch aus anderen Stores auf ein iPhone heruntergeladen werden können. Mit diesem Profil wird dann die bösartige App installiert.
Eine gefälschte App Store-Website fordert den Nutzer auf, eine App zu installieren. Scheinbar geht es um Ledger Wallet
Die Malware aus dem obigen Beispiel basiert auf der Ledger-App und enthält eine Trojaner-Funktion. Die App sieht dem Original täuschend ähnlich. Beim Verbinden mit einer Hardware-Wallet wird jedoch die Seed-Phrase abgefragt. Begründung: Der Zugriff muss wiederhergestellt werden. Dies entspricht allerdings nicht dem Standardverfahren: Normalerweise musst du nur eine PIN eingeben, die Seed-Phrase wird hier nicht abgefragt. Da die App legitim wirkt, hat die Täuschung gute Erfolgsaussichten. Sobald ein Opfer die Seed-Phrase eingibt, wird diese an den Server der Bösewichte gesendet. Und schon haben die Hacker freie Bahn und vollen Zugriff auf die Krypto-Assets des Opfers.
Installation ohne App Store
Ein wichtiger Aspekt dieses Schemas ist die Installation von Malware auf dem angegriffenen iPhone. App Store und die damit verbundene Überprüfung werden dabei geschickt gemieden. Dies funktioniert ähnlich wie bei dem iOS-Infostealer SparkKitty, den wir vor einiger Zeit entdeckt haben. Die Angreifer besorgten sich Zugriff auf das Apple Developer Enterprise Program. Nach einem Interview und einer Überprüfung des Unternehmens können Entwickler für nur 299 US-Dollar pro Jahr eigene Konfigurationsprofile und Apps herausgeben, die den direkten Download auf Benutzergeräte ermöglichen. Eine Veröffentlichung im App Store ist nicht erforderlich.
Zur App-Installation muss das Opfer zunächst ein Konfigurationsprofil installieren. Dann wird die Malware direkt und unter Umgehung von App Store heruntergeladen. Die App hat sogar ein grünes Verifizierungshäkchen
Über geschäftliche Profile können Unternehmen interne Apps auf den Geräten von Mitarbeitern bereitstellen. Diese Apps erfordern keine Veröffentlichung im App Store und können auf beliebig vielen Geräten installiert werden. Leider wird diese Funktion oft zweckentfremdet. Solche Profile werden häufig für Software verwendet, die den Apple-Richtlinien nicht entspricht. Beispielsweise für Online-Casinos, Raubkopien und natürlich für Malware.
Genau aus diesem Grund fordert die gefälschte Apple Store-Website den Nutzer auf, zuerst ein Konfigurationsprofil und danach die von diesem Profil signierte App zu installieren.
Diebstahl von Kryptowährung über macOS-Apps und -Erweiterungen
Viele Kryptobesitzer verwalten ihre Wallets auf einem Computer und nicht auf dem Smartphone. Für diese Aufgabe sind Macs sehr beliebt. Kaum verwunderlich, dass es die häufigsten macOS-Infostealer auf Krypto-Wallet-Daten abgesehen haben. In letzter Zeit nimmt jedoch eine neue bösartige Taktik überhand: Angreifer stehlen nicht nur gespeicherte Daten, sondern betten Phishing-Dialoge direkt in legitime Wallet-Apps ein, die bereits auf Benutzercomputern installiert sind. Anfang des Jahres übernahm der Infostealer MacSync diese Funktionalität. Er infiltriert Systeme durch ClickFix-Angriffe: Nutzer, die nach Software suchen, werden mit hinterlistigen Anweisungen auf gefälschte Websites gelockt und dazu gebracht, im Terminal bestimmte Installationsbefehle ausführen. Dadurch wird der Infostealer gestartet, der alles Mögliche hamstert: Passwörter und Cookies aus Chrome, Chats aus populären Messengern und Daten aus browserbasierten Krypto-Wallet-Erweiterungen.
Das Interessanteste kommt noch. Ist auf dem angegriffenen Gerät bereits die legitime Trezor- oder Ledger-App installiert, lädt der Infostealer weitere Module herunter und ersetzt App-Fragmente durch eigenen Trojaner-Code. Anschließend signiert die Malware die veränderte Datei neu. Nach diesen „Korrekturen“ erlaubt Gatekeeper (ein interner macOS-Schutzmechanismus) die Ausführung der App, ohne nach zusätzlichen Berechtigungen zu fragen. Dieser Trick funktioniert zwar nicht immer. Für einfachere Apps, die auf dem beliebten Electron-Framework basieren, ist er aber ziemlich effektiv.
Die Trojaner-App fragt den Nutzer nach der Seed-Phrase für sein Wallet
Wenn die Trojaner-App geöffnet wird, täuscht sie einen Fehler vor und initiiert einen „Wiederherstellungsprozess“. Dabei wird der Benutzer nach der Seed-Phrase für sein Wallet gefragt.
Der Trojanisierungs-Ansatz ist nicht nur bei MacSync zu finden. Auch die Entwickler anderer häufiger macOS-Infostealer haben ihn übernommen. Wir haben bereits einen ähnlichen Mechanismus beschrieben, mit dem Exodus- und Bitcoin-Qt-Wallets kompromittiert werden.
So schützt du dein Kryptoguthaben
Angreifer haben immer wieder bewiesen, dass es keine unbesiegbaren Gadgets gibt. Da viele Entwickler und Nutzer im Kryptobereich macOS und iOS bevorzugen, erreichen die Angriffe auf diese Plattformen inzwischen fast industrielle Maßstäbe. Sicherheit erfordert nicht nur eine umfassende Abwehr, sondern auch eine gesunde Portion Skepsis und Wachsamkeit.
- Lade Apps nur aus vertrauenswürdigen Quellen herunter: entweder von der offiziellen Entwickler-Website oder von der entsprechenden App-Store-Seite. Malware hat es bekanntlich auch schon in offizielle Stores geschafft. Darum muss der Anbieter der App immer gründlich überprüft werden.
- Überprüfe die Bewertungen, das Veröffentlichungsdatum und die Download-Zahlen der App.
- Schau dir die Bewertungen an – insbesondere die negativen. Sortiere die Bewertungen nach Datum, um zu sehen, welche Erfahrungen es mit der neuesten Version gibt. Oft bringen Angreifer zuerst eine völlig harmlose App in Umlauf. Wenn die App gute Bewertungen erhält, führen sie mithilfe von Updates schädliche Funktionen ein.
- Kopiere niemals Befehle, um sie im Terminal einzufügen – es sei denn, du bist absolut sicher, worum es geht. Solche Angriffe erfreuen sich in letzter Zeit großer Beliebtheit und werden oft als Installationsschritte für KI-Apps getarnt (z. B. Claude Code oder OpenClaw).
- Verwende ein umfassendes Sicherheitssystem für alle deine Computer und Smartphones. Unser Favorit: Kaspersky Premium. Dadurch wird das Risiko des Besuchs von Phishing-Websites und der Installation bösartiger Apps wesentlich verringert.
- Deine Seed-Phrase in einer Hardware-Wallet-App, auf einer Website oder in einem Chat eingeben? Nein, niemals! Egal, in welchem Szenario (ob Migration zu einem neuen Wallet, App-Neuinstallation oder Wallet-Wiederherstellung) muss die Seed-Phrase ausschließlich auf dem Hardwaregerät selbst eingegeben werden. Die Eingabe der Seed-Phrase in einer mobilen App oder Desktop-App gehört nicht zum Prozedere.
- Überprüfe auf dem Display der Hardware-Wallet immer die Empfängeradresse, um Angriffe mit Adressenschwindel zu verhindern.
- Bewahre Seed-Phrasen möglichst sicher auf, z. B. auf einem Krypto-Wallet aus Stahl oder in einem verschlossenen Umschlag im Bankschließfach. Auf einem Computer sollten Seed-Phrasen am besten gar nicht gespeichert werden. Falls es sich nicht vermeiden lässt, verwende einen sicheren, verschlüsselten Datentresor, zum Beispiel Kaspersky Password Manager.
Glaubst du immer noch, dass Apple-Geräte unerschütterlich sind? Die folgenden Artikel beweisen das Gegenteil:
Tipps