Forscher haben ein ausgeklügeltes, bösartiges System aufgedeckt, das vor allem auf chinesische Nutzerinnen und Nutzer abzielt: Nachgemachte Apps auf Android und iOS, die legitime digitale Geldbörsen imitieren, um Kryptowährungsgelder abzuschöpfen.
„Diese bösartigen Apps waren in der Lage, die geheimen Seed-Phrasen der Opfer zu stehlen, indem sie sich als Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket oder OneKey ausgaben“, so Lukáš Štefanko, Senior Malware Researcher bei ESET, in einem Bericht an The Hacker News.
Die Wallet-Dienste sollen über ein Netzwerk von mehr als 40 gefälschten Wallet-Websites verbreitet worden sein, die mit Hilfe von irreführenden Artikeln auf legitimen chinesischen Websites sowie durch die Anwerbung von Mittelsmännern über Telegram- und Facebook-Gruppen beworben werden, um ahnungslose Besucher zum Herunterladen der schädlichen Apps zu verleiten.
ESET, das die Kampagne seit Mai 2021 verfolgt, führt sie auf die Arbeit einer einzigen kriminellen Gruppe zurück. Die trojanisierten Kryptowährungs-Wallet-Apps sind so gestaltet, dass sie die gleichen Funktionen wie die Original-Apps haben, aber auch bösartige Codeänderungen enthalten, die den Diebstahl von Kryptowährungen ermöglichen.
„Diese bösartigen Apps stellen noch eine weitere Bedrohung für die Opfer dar, da einige von ihnen geheime Seed-Phrasen der Opfer über eine ungesicherte HTTP-Verbindung an den Server der Angreifer senden“, so Štefanko. „Das bedeutet, dass die Gelder der Opfer nicht nur vom Betreiber dieses Systems gestohlen werden können, sondern auch von einem anderen Angreifer, der dasselbe Netzwerk abhört.“
Das slowakische Cybersicherheitsunternehmen gab an, Dutzende von Gruppen gefunden zu haben, die bösartige Kopien dieser Wallet-Apps in der Telegram-Messaging-App bewarben, die wiederum in mindestens 56 Facebook-Gruppen geteilt wurden, in der Hoffnung, neue Vertriebspartner für das betrügerische System zu gewinnen.
„Basierend auf den Informationen aus diesen Gruppen wird einer Person, die diese Malware verbreitet, eine 50-prozentige Provision auf den gestohlenen Inhalt der Wallet angeboten“, so ESET.
Einzigartig ist, dass die Apps, sobald sie installiert sind, je nach Betriebssystem der kompromittierten mobilen Geräte unterschiedlich konfiguriert sind. Auf Android zielen die Apps auf Nutzer von Kryptowährungen ab, die noch keine der anvisierten Wallet-Anwendungen installiert haben, während die Opfer auf iOS beide Versionen installiert haben können.
Es ist auch erwähnenswert, dass die gefälschten Wallet-Apps nicht direkt im iOS App Store erhältlich sind. Vielmehr können sie nur heruntergeladen werden, indem man eine der bösartigen Websites besucht und Konfigurationsprofile verwendet, die es ermöglichen, Anwendungen zu installieren, die nicht von Apple verifiziert sind und aus Quellen außerhalb des App Stores stammen.
Die Untersuchung förderte außerdem 13 betrügerische Apps zutage, die sich im Google Play Store als Jaxx Liberty Wallet ausgaben und alle seit Januar 2022 aus dem Android-App-Marktplatz entfernt wurden. Sie wurden insgesamt mehr als 1.100 Mal installiert.
„Ihr Ziel war es einfach, die Recovery-Seed-Phrase des Nutzers herauszufinden und sie entweder an den Server der Angreifer oder an eine geheime Telegram-Chatgruppe zu senden“, sagte Štefanko.
Da die Bedrohungsakteure hinter der Operation aktiv Partner über soziale Medien und Messaging-Apps rekrutieren und ihnen einen Anteil an der gestohlenen digitalen Währung anbieten, warnt ESET, dass die Angriffe in Zukunft auf andere Teile der Welt übergreifen könnten.
„Außerdem scheint der Quellcode dieser Bedrohung auf einigen chinesischen Websites geleakt und geteilt worden zu sein, was verschiedene Bedrohungsakteure anlocken und die Bedrohung noch weiter verbreiten könnte“, so Štefanko weiter.