Ein technisch hochentwickelter Bedrohungsakteur namens SeaFlower hat es im Rahmen einer umfangreichen Kampagne auf Android- und iOS-Nutzer abgesehen, die offizielle Kryptowährungs-Wallet-Websites imitieren, um gefälschte Apps zu verbreiten, die das Geld der Opfer abziehen.
Die Aktivitäten, die im März 2022 entdeckt wurden, deuten auf eine enge Beziehung zu einer chinesischsprachigen Organisation hin, die noch nicht aufgedeckt wurde. Dies geht aus den macOS-Benutzernamen, den Quellcode-Kommentaren im Backdoor-Code und dem Missbrauch des Content Delivery Network (CDN) von Alibaba hervor.
„Derzeit besteht das Hauptziel von SeaFlower darin, Web3-Wallets mit Backdoor-Code zu modifizieren, der letztendlich die Seed-Phrase exfiltriert“, so Taha Karim von Confiant in einem technischen Detailbericht über die Kampagne.
Zu den angegriffenen Apps gehören die Android- und iOS-Versionen von Coinbase Wallet, MetaMask, TokenPocket und imToken.
Die Vorgehensweise von SeaFlower besteht darin, geklonte Websites einzurichten, über die trojanisierte Versionen der Wallet-Apps heruntergeladen werden können, die sich von ihren Originalen kaum unterscheiden, bis auf die Hinzufügung eines neuen Codes, der die Seed-Phrase an eine entfernte Domain weiterleitet.
Die böswilligen Aktivitäten zielen auch auf iOS-Nutzer/innen ab, indem sie Bereitstellungsprofile verwenden, mit denen die Apps auf die Geräte geladen werden können.
Um herauszufinden, wie die Nutzer/innen auf diese Websites stoßen, die betrügerische Wallets anbieten, nutzt der Angriff SEO-Vergiftungstechniken in chinesischen Suchmaschinen wie Baidu und Sogou, sodass Suchanfragen nach Begriffen wie „download MetaMask iOS“ so manipuliert werden, dass die Drive-by-Download-Seiten ganz oben in den Suchergebnissen erscheinen.
Die Enthüllung macht einmal mehr deutlich, dass Bedrohungsakteure zunehmend beliebte Web3-Plattformen ins Visier nehmen, um sensible Daten zu erbeuten und virtuelle Gelder zu transferieren.