Der Antivirenhersteller und Internetsicherheitsanbieter ESET hat ein komplexes bösartiges Kryptowährungsschema aufgedeckt, das seit Mai letzten Jahres auf mobile Benutzer auf Android und iOS abzielt.
Es wird angenommen, dass der Plan selbst das Werk einer kriminellen Gruppe ist, die über gefälschte Websites verbreitete Schadanwendungen nutzt, um ahnungslosen Benutzern Bitcoins und andere Kryptowährungen zu stehlen. Diese bösartigen Apps ahmen beliebte Kryptowährungs-Wallets nach, darunter Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken und OneKey.
Die Hintermänner des Plans verwenden Werbung auf legitimen Websites mit Scheinartikeln, um gefälschte Websites zu bewerben, die diese Nachahmer-Wallet-Apps verbreiten. Allerdings haben Cyberkriminelle auch über Gruppen auf Telegram und Facebook Vermittler rekrutiert. Obwohl das Hauptziel des Plans darin besteht, Benutzergelder zu stehlen, stellte ESET Research in erster Linie fest, dass chinesische Benutzer ins Visier genommen wurden. Angesichts der wachsenden Beliebtheit von Kryptowährungen hoffen die Sicherheitsexperten des Unternehmens jedoch, dass sich die eingesetzten Techniken auf andere Märkte ausweiten.
Der ESET-Wissenschaftler, der das Programm entdeckt hat, Lukáš Štefanko, gab in einer Pressemitteilung einige Hintergrundinformationen zu seiner Funktionsweise und sagte:
„Diese bösartigen Apps stellen auch eine weitere Bedrohung für die Opfer dar, da einige von ihnen geheime Seed-Sätze über eine unsichere HTTP-Verbindung an den Server des Angreifers senden. Dies bedeutet, dass die Gelder der Opfer nicht nur vom Betreiber dieses Systems, sondern auch von einem anderen Angreifer, der dasselbe Netzwerk belauscht, gestohlen werden könnten. Wir haben außerdem dreizehn bösartige Anwendungen entdeckt, die sich als Jaxx Liberty-Wallet ausgeben. Diese Apps gab es kostenlos im Play Store.
Ein aufwändiges Schema
Ab Mai letzten Jahres entdeckten ESET-Sicherheitsforscher Dutzende trojanisierte Kryptowährungs-Wallet-Apps.
Was dieses System von anderen Krypto-Betrügereien unterscheidet, ist die Tatsache, dass der Malware-Ersteller eine gründliche Analyse legitimer Krypto-Anwendungen durchgeführt hat, um deren Schadcode an Stellen einzufügen, an denen er kaum zu erkennen wäre. Gleichzeitig stellten sie sicher, dass die von ihnen erstellten gefälschten Apps genau die gleiche Funktionalität hatten wie die Originale.
ESET hat seit Mai XNUMX Dutzende Sets gefunden, die bösartige Kopien von Kryptowährungs-Wallets auf Telegram bewerben. Seit Oktober letzten Jahres wurden diese Telegram-Sets auf mindestens XNUMX Facebook-Sets geteilt und beworben, um noch mehr Vertriebspartner zu finden. Dann, im November, warnte ESET, dass diese gefälschten Kryptowährungs-Wallet-Apps auf zwei seriösen chinesischen Websites verbreitet würden.
Diese betrügerischen Apps verhalten sich auch auf Android und iOS unterschiedlich. Auf Android zielen sie auf neue Kryptowährungsnutzer ab, die noch keine Wallet-App auf ihren Geräten installiert haben, während auf iOS-Geräten die Opfer möglicherweise eine legitime und bösartige Wallet-App installiert haben.
Da der Quellcode dieses Schemas durchgesickert und auf mehreren chinesischen Websites geteilt wurde, könnte es möglicherweise andere Cyberkriminelle dazu verleiten, es weiter zu verbreiten. Aus diesem Grund sollten Benutzer, die Kryptowährungen kaufen, verkaufen und halten möchten, Krypto-Wallet-Apps nur aus dem Apple App Store oder Play Store herunterladen.