Gefälschte Ledger-Wallet mit verstecktem Chip stiehlt Seed-Phrasen und PINs
Ein brasilianischer Cybersicherheitsforscher hat eine groß angelegte Betrugsoperation aufgedeckt, nachdem er eine vermeintliche "Ledger"-Hardware-Wallet auf einem chinesischen Marktplatz gekauft hatte. Das Angebot wirkte legitim und war zum gleichen Preis wie im offiziellen Store erhältlich. Die Verpackung sah auf den ersten Blick original aus, doch das Gerät war gefälscht.
Beim Anschluss an die Ledger Live-Software, die von ledger.com heruntergeladen wurde, scheiterte das Gerät am Echtheitscheck, was bestätigte, dass es sich nicht um ein echtes Ledger-Gerät handelte. Dies veranlasste den Forscher, das Gerät zu öffnen und die interne Hardware und Firmware zu untersuchen.
Gefälschte Websites und bösartige Apps
Im Inneren fand der Forscher einen völlig anderen Chip als den, der in einer echten Hardware-Wallet verwendet wird. Die Chipmarkierungen waren abgeschabt, um die Identifikation zu verschleiern. Der Forscher identifizierte den Chip als ESP32-S3 mit internem Flash-Speicher. Das Gerät täuschte zunächst vor, ein Ledger Nano S+ zu sein, offenbarte später jedoch seinen wahren Hersteller als Espressif Systems.
Nach dem Auslesen und Reverse Engineering der Firmware stellte der Forscher fest, dass die auf dem Gerät erstellte PIN im Klartext gespeichert wurde. Auch die Seed-Phrasen von auf dem Gerät generierten Wallets wurden im Klartext gespeichert. Die Firmware enthielt zudem mehrere fest codierte Domain-Referenzen, die auf externe Command-and-Control-Server verwiesen. Diese Erkenntnisse zeigten, dass das Gerät darauf ausgelegt war, sensible Wallet-Daten zu sammeln.
Der Angriff beginnt, wenn ein Benutzer einen QR-Code scannt, der in der Verpackung enthalten ist. Dieser QR-Code führt zu einer gefälschten Website, die wie ledger.com aussieht. Von dort aus werden Benutzer aufgefordert, eine gefälschte "Ledger Live"-App herunterzuladen. Die gefälschte App zeigt einen gefälschten Echtheitscheck-Bildschirm, der immer besteht. Benutzer erstellen Wallets und notieren Seed-Phrasen, während die App diese an servergesteuerte Angreifer weiterleitet.
Der Forscher dekompilierte die Android-APK-Version der gefälschten Ledger Live-App und entdeckte weiteres bösartiges Verhalten. Die App war mit React Native und der Hermes-Engine gebaut und mit einem Android-Debug-Zertifikat signiert. Sie fing APDU-Befehle zwischen der App und dem Gerät ab, stellte verdeckte Anfragen an externe Server und lief im Hintergrund weiter, nachdem sie geschlossen wurde.
Die App forderte auch Standortberechtigungen an und überwachte Wallet-Salden über öffentliche Schlüssel, was es Angreifern ermöglichte, Einzahlungen und Beträge zu verfolgen.
Kein Sicherheitsfehler bei Ledger
Der Forscher betonte, dass es sich nicht um eine Zero-Day-Schwachstelle oder einen Fehler im Sicherheitsdesign von Ledger handelt. Ledgers Echtheitscheck und Secure Element funktionierten korrekt. Vielmehr handelt es sich um eine Phishing-Operation, die gefälschte Hardware, bösartige Apps und externe Infrastruktur kombiniert. Die gesamte Operation umfasst Hardware-Geräte mit ESP32-S3-Chips, trojanisierte Apps für Android und andere Plattformen sowie Command-and-Control-Server zur Datenexfiltration.
Der Forscher fügte hinzu, dass gefälschte Ledger-Geräte bereits zuvor gemeldet wurden, dieser Fall jedoch anders sei, da er das gesamte System abbildet, einschließlich Hardware, Apps, Infrastruktur und Vertrieb über eine Scheinfirma. Der Forscher hat einen Bericht an Ledgers Kundenservice-Team übermittelt und bereitet eine vollständige technische Analyse der Windows-, macOS- und iOS-Versionen der Malware vor.
