![\"Phishing-Apps,](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/05\/06140402\/ios-macos-fake-crypto-apps-01.jpg\")
<\/a>Phishing-Apps, die im App Store in den Suchergebnissen f\u00fcr Ledger Wallet (zuvor Ledger Live) erscheinen<\/p><\/div>\n
Au\u00dferdem fanden wir auch Apps, deren Namen und Symbole nichts mit Krypto zu tun haben. Auf Werbebannern wurde jedoch behauptet, diese Apps w\u00fcrden den Download und die Installation von offiziellen Wallet-Apps erm\u00f6glichen, die im regionalen App Store nicht zu haben sind.<\/p>\n
<\/a>Banner auf App-Seiten behaupten, dass sie den Download der offiziellen TokenPocket-App erm\u00f6glichen, die im App Store f\u00fcr China gesperrt ist<\/p><\/div>\n
Wir identifizierten insgesamt 26\u00a0Phishing-Apps, die die folgenden beliebten Wallets nachahmen:<\/p>\n
- \n
- MetaMask<\/li>\n
- Ledger<\/li>\n
- Trust Wallet<\/li>\n
- Coinbase<\/li>\n
- TokenPocket<\/li>\n
- imToken<\/li>\n
- Bitpie<\/li>\n<\/ul>\n
Einige Apps enthielten zwar keine Phishing-Funktionalit\u00e4t. Trotzdem gab es deutliche Hinweise darauf, dass sie von denselben Angreifern stammten. Wahrscheinlich sollen bei sp\u00e4teren Updates sch\u00e4dliche Funktionen hinzugef\u00fcgt werden.<\/p>\n
Um die Beschr\u00e4nkungen von App Store zu umgehen, f\u00fcgten die Entwickler den Apps n\u00fctzliche Funktionen hinzu, zum Beispiel ein Spiel, einen Taschenrechner oder einen Aufgabenplaner.<\/p>\n
Die Installation eines solchen App-Klons bringt deine Krypto-Assets in h\u00f6chste Gefahr. Zwar stehlen die Apps keine Kryptow\u00e4hrungen, Seed-Phrasen oder Passw\u00f6rter. Sie dienen aber als K\u00f6der und erschleichen sich das Vertrauen der Nutzer, da sie im offiziellen App Store gelistet sind. Wird die App nach der Installation gestartet, \u00f6ffnet sie im Browser eine Phishing-Website. Sie \u00e4hnelt dem App Store und fordert den Nutzer auf, eine kompromittierte Version der entsprechenden Krypto-Wallet zu installieren. Die Angreifer haben mehrere Versionen dieser b\u00f6sartigen Module erstellt. Jede Version ist auf ein bestimmtes Wallet zugeschnitten. Alle technischen Details dieses Angriffs findest du in unserem Securelist-Beitrag<\/a>.<\/p>\n
Ein Opfer, das auf den Trick hereinf\u00e4llt, wird zun\u00e4chst aufgefordert, ein Provisioning-Profil zu installieren, mit dem Apps auch aus anderen Stores auf ein iPhone heruntergeladen werden k\u00f6nnen. Mit diesem Profil wird dann die b\u00f6sartige App installiert.<\/p>\n
![\"Eine](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/05\/06140452\/ios-macos-fake-crypto-apps-03.jpg\")
<\/a>Eine gef\u00e4lschte App Store-Website fordert den Nutzer auf, eine App zu installieren. Scheinbar geht es um Ledger Wallet<\/p><\/div>\n
Die Malware aus dem obigen Beispiel basiert auf der Ledger-App und enth\u00e4lt eine Trojaner-Funktion. Die App sieht dem Original t\u00e4uschend \u00e4hnlich. Beim Verbinden mit einer Hardware-Wallet wird jedoch die Seed-Phrase abgefragt. Begr\u00fcndung: Der Zugriff muss wiederhergestellt werden. Dies entspricht allerdings nicht dem Standardverfahren: Normalerweise musst du nur eine PIN eingeben, die Seed-Phrase wird hier nicht abgefragt. Da die App legitim wirkt, hat die T\u00e4uschung gute Erfolgsaussichten. Sobald ein Opfer die Seed-Phrase eingibt, wird diese an den Server der B\u00f6sewichte gesendet. Und schon haben die Hacker freie Bahn und vollen Zugriff auf die Krypto-Assets des Opfers.<\/p>\n
Installation ohne App Store<\/h2>\n
Ein wichtiger Aspekt dieses Schemas ist die Installation von Malware auf dem angegriffenen iPhone. App Store und die damit verbundene \u00dcberpr\u00fcfung werden dabei geschickt gemieden. Dies funktioniert \u00e4hnlich wie bei dem iOS-Infostealer SparkKitty<\/a>, den wir vor einiger Zeit entdeckt haben. Die Angreifer besorgten sich Zugriff auf das Apple Developer Enterprise Program<\/a>. Nach einem Interview und einer \u00dcberpr\u00fcfung des Unternehmens k\u00f6nnen Entwickler f\u00fcr nur 299\u00a0US-Dollar pro Jahr eigene Konfigurationsprofile und Apps herausgeben, die den direkten Download auf Benutzerger\u00e4te erm\u00f6glichen. Eine Ver\u00f6ffentlichung im App Store ist nicht erforderlich.<\/p>\n
![\"Zur](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/05\/06140517\/ios-macos-fake-crypto-apps-04.jpg\")
<\/a>Zur App-Installation muss das Opfer zun\u00e4chst ein Konfigurationsprofil installieren. Dann wird die Malware direkt und unter Umgehung von App Store heruntergeladen. Die App hat sogar ein gr\u00fcnes Verifizierungsh\u00e4kchen<\/p><\/div>\n
\u00dcber gesch\u00e4ftliche Profile k\u00f6nnen Unternehmen interne Apps auf den Ger\u00e4ten von Mitarbeitern bereitstellen. Diese Apps erfordern keine Ver\u00f6ffentlichung im App Store und k\u00f6nnen auf beliebig vielen Ger\u00e4ten installiert werden. Leider wird diese Funktion oft zweckentfremdet. Solche Profile werden h\u00e4ufig f\u00fcr Software verwendet, die den Apple-Richtlinien nicht entspricht. Beispielsweise f\u00fcr Online-Casinos, Raubkopien und nat\u00fcrlich f\u00fcr Malware.<\/p>\n
Genau aus diesem Grund fordert die gef\u00e4lschte Apple Store-Website den Nutzer auf, zuerst ein Konfigurationsprofil und danach die von diesem Profil signierte App zu installieren.<\/p>\n
Diebstahl von Kryptow\u00e4hrung \u00fcber macOS-Apps und -Erweiterungen<\/h2>\n
Viele Kryptobesitzer verwalten ihre Wallets auf einem Computer und nicht auf dem Smartphone. F\u00fcr diese Aufgabe sind Macs sehr beliebt. Kaum verwunderlich, dass es die h\u00e4ufigsten macOS-Infostealer auf Krypto-Wallet-Daten abgesehen haben. In letzter Zeit nimmt jedoch eine neue b\u00f6sartige Taktik \u00fcberhand: Angreifer stehlen nicht nur gespeicherte Daten, sondern betten Phishing-Dialoge direkt in legitime Wallet-Apps ein, die bereits auf Benutzercomputern installiert sind. Anfang des Jahres \u00fcbernahm der Infostealer MacSync<\/a> diese Funktionalit\u00e4t. Er infiltriert Systeme durch ClickFix-Angriffe<\/a>: Nutzer, die nach Software suchen, werden mit hinterlistigen Anweisungen auf gef\u00e4lschte Websites gelockt und dazu gebracht, im Terminal bestimmte Installationsbefehle ausf\u00fchren. Dadurch wird der Infostealer gestartet, der alles M\u00f6gliche hamstert: Passw\u00f6rter und Cookies aus Chrome, Chats aus popul\u00e4ren Messengern und Daten aus browserbasierten Krypto-Wallet-Erweiterungen.<\/p>\n
Das Interessanteste kommt noch. Ist auf dem angegriffenen Ger\u00e4t bereits die legitime Trezor- oder Ledger-App installiert, l\u00e4dt der Infostealer weitere Module herunter und ersetzt App-Fragmente durch eigenen Trojaner-Code. Anschlie\u00dfend signiert die Malware die ver\u00e4nderte Datei neu. Nach diesen \u201eKorrekturen\u201c erlaubt Gatekeeper (ein interner macOS-Schutzmechanismus) die Ausf\u00fchrung der App, ohne nach zus\u00e4tzlichen Berechtigungen zu fragen. Dieser Trick funktioniert zwar nicht immer. F\u00fcr einfachere Apps, die auf dem beliebten Electron-Framework<\/a> basieren, ist er aber ziemlich effektiv.<\/p>\n
![\"Die](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/05\/06140540\/ios-macos-fake-crypto-apps-05.jpg\")
<\/a>Die Trojaner-App fragt den Nutzer nach der Seed-Phrase f\u00fcr sein Wallet<\/p><\/div>\n
Wenn die Trojaner-App ge\u00f6ffnet wird, t\u00e4uscht sie einen Fehler vor und initiiert einen \u201eWiederherstellungsprozess\u201c. Dabei wird der Benutzer nach der Seed-Phrase f\u00fcr sein Wallet gefragt.<\/p>\n
Der Trojanisierungs-Ansatz ist nicht nur bei MacSync zu finden. Auch die Entwickler anderer h\u00e4ufiger macOS-Infostealer haben ihn \u00fcbernommen. Wir haben bereits einen \u00e4hnlichen Mechanismus beschrieben, mit dem Exodus- und Bitcoin-Qt-Wallets kompromittiert werden<\/a>.<\/p>\n
So sch\u00fctzt du dein Kryptoguthaben<\/h2>\n
Angreifer haben immer wieder bewiesen, dass es keine unbesiegbaren Gadgets gibt. Da viele Entwickler und Nutzer im Kryptobereich macOS und iOS bevorzugen, erreichen die Angriffe auf diese Plattformen inzwischen fast industrielle Ma\u00dfst\u00e4be. Sicherheit erfordert nicht nur eine umfassende Abwehr, sondern auch eine gesunde Portion Skepsis und Wachsamkeit.<\/p>\n
- \n
- Lade Apps nur aus vertrauensw\u00fcrdigen Quellen herunter: entweder von der offiziellen Entwickler-Website oder von der entsprechenden App-Store-Seite. Malware hat es bekanntlich auch schon in offizielle Stores geschafft. Darum muss der Anbieter der App immer gr\u00fcndlich \u00fcberpr\u00fcft werden.<\/li>\n
- \u00dcberpr\u00fcfe die Bewertungen, das Ver\u00f6ffentlichungsdatum und die Download-Zahlen der App.<\/li>\n
- Schau dir die Bewertungen an\u00a0\u2013 insbesondere die negativen. Sortiere die Bewertungen nach Datum, um zu sehen, welche Erfahrungen es mit der neuesten Version gibt. Oft bringen Angreifer zuerst eine v\u00f6llig harmlose App in Umlauf. Wenn die App gute Bewertungen erh\u00e4lt, f\u00fchren sie mithilfe von Updates sch\u00e4dliche Funktionen ein.<\/li>\n
- Kopiere niemals Befehle, um sie im Terminal einzuf\u00fcgen\u00a0\u2013 es sei denn, du bist absolut sicher, worum es geht. Solche Angriffe erfreuen sich in letzter Zeit gro\u00dfer Beliebtheit und werden oft als Installationsschritte f\u00fcr KI-Apps<\/a> getarnt (z.\u00a0B. Claude Code oder OpenClaw).<\/li>\n
- Verwende ein umfassendes Sicherheitssystem f\u00fcr alle deine Computer und Smartphones. Unser Favorit: Kaspersky Premium<\/a>. Dadurch wird das Risiko des Besuchs von Phishing-Websites und der Installation b\u00f6sartiger Apps wesentlich verringert.<\/li>\n
- Deine Seed-Phrase in einer Hardware-Wallet-App, auf einer Website oder in einem Chat eingeben? Nein, niemals! Egal, in welchem Szenario (ob Migration zu einem neuen Wallet, App-Neuinstallation oder Wallet-Wiederherstellung) muss die Seed-Phrase ausschlie\u00dflich auf dem Hardwareger\u00e4t selbst<\/strong> eingegeben werden. Die Eingabe der Seed-Phrase in einer mobilen App oder Desktop-App geh\u00f6rt nicht zum Prozedere.<\/li>\n
- \u00dcberpr\u00fcfe auf dem Display der Hardware-Wallet immer die Empf\u00e4ngeradresse, um Angriffe mit Adressenschwindel zu verhindern.<\/li>\n
- Bewahre Seed-Phrasen m\u00f6glichst sicher auf, z.\u00a0B. auf einem Krypto-Wallet aus Stahl<\/a> oder in einem verschlossenen Umschlag im Bankschlie\u00dffach. Auf einem Computer sollten Seed-Phrasen am besten gar nicht gespeichert werden. Falls es sich nicht vermeiden l\u00e4sst, verwende einen sicheren, verschl\u00fcsselten Datentresor, zum Beispiel Kaspersky Password Manager<\/a>.<\/li>\n<\/ul>\n
Glaubst du immer noch, dass Apple-Ger\u00e4te unersch\u00fctterlich sind? Die folgenden Artikel beweisen das Gegenteil:<\/p>\n
- \n
- Das iPhone ist nicht mehr unverwundbar: DarkSword und Coruna<\/a><\/li>\n
- Predator vs. iPhone: Die Kunst der unsichtbaren \u00dcberwachung<\/a><\/li>\n
- Bluetooth-Kopfh\u00f6rer als Spione<\/a><\/li>\n
- AirBorne: Angriffe auf Apple-Ger\u00e4te durch AirPlay-Schwachstellen<\/a><\/li>\n
- Banshee: Dieser Dieb hat es auf macOS-Nutzer abgesehen<\/a><\/li>\n<\/ul>\n<\/blockquote>\n\n","protected":false},"excerpt":{"rendered":"
Der offizielle App Store als Fundgrube f\u00fcr Phishing-Apps? Wir haben zwei Dutzend Apps entdeckt, die g\u00e4ngige Krypto-Wallets nachahmen. Interessante Details zu neuen Angriffswellen, die iPhone- und Mac-Nutzer und deren Kryptoguthaben ins Visier nehmen.<\/p>\n","protected":false},"author":2749,"featured_media":33467,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[109,274,142,4217,4203,50,4064,2745,903,3353,257],"class_list":{"0":"post-33466","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apple","9":"tag-bedrohungen","10":"tag-betrug","11":"tag-clickfix","12":"tag-infostealer","13":"tag-ios","14":"tag-krypto-wallets","15":"tag-kryptowahrungen","16":"tag-macos","17":"tag-stealer","18":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ios-macos-fake-crypto-apps\/33466\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-macos-fake-crypto-apps\/30449\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/25495\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/13386\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-macos-fake-crypto-apps\/30293\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/29184\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ios-macos-fake-crypto-apps\/32093\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ios-macos-fake-crypto-apps\/30644\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-macos-fake-crypto-apps\/41766\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ios-macos-fake-crypto-apps\/14504\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/55665\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ios-macos-fake-crypto-apps\/23891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ios-macos-fake-crypto-apps\/24965\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-macos-fake-crypto-apps\/30602\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-macos-fake-crypto-apps\/36180\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-macos-fake-crypto-apps\/35831\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33466"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33466\/revisions"}],"predecessor-version":[{"id":33475,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33466\/revisions\/33475"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33467"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Predator vs. iPhone: Die Kunst der unsichtbaren \u00dcberwachung<\/a><\/li>\n
- Verwende ein umfassendes Sicherheitssystem f\u00fcr alle deine Computer und Smartphones. Unser Favorit: Kaspersky Premium<\/a>. Dadurch wird das Risiko des Besuchs von Phishing-Websites und der Installation b\u00f6sartiger Apps wesentlich verringert.<\/li>\n