Kaspersky warnt vor 26 gefälschten Krypto-Wallet-Apps im Apple App Store
Das Cybersicherheitsunternehmen Kaspersky hat 26 betrügerische Krypto-Wallet-Apps im Apple App Store identifiziert, die darauf abzielen, die digitalen Vermögenswerte der Nutzer zu stehlen.
Die Threat Research-Abteilung von Kaspersky fand heraus, dass diese Apps beliebte Krypto-Wallets wie MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken und Bitpie nachahmen, indem sie deren Namen und visuelles Branding kopieren, um legitim zu wirken. Nach dem Öffnen leiten diese Anwendungen die Nutzer auf Phishing-Seiten weiter, die der App Store-Oberfläche ähneln, und fordern sie auf, eine zweite Anwendung herunterzuladen, die in Wirklichkeit eine trojanisierte Wallet ist, die Kryptowährungsfonds abziehen kann.
Funktionsweise des Betrugs
Kaspersky erklärte, dass die Kampagne mindestens seit Herbst 2025 aktiv ist und mit „moderater Sicherheit“ den Bedrohungsakteuren hinter SparkKitty, einem zuvor identifizierten iOS-Malware-Strang, zugeschrieben wird. Offizielle Versionen vieler dieser Wallet-Apps sind im chinesischen iOS App Store nicht verfügbar; die meisten der entdeckten Phishing-Apps wurden speziell an Nutzer in China verteilt, obwohl die schädliche Nutzlast selbst keine regionalen Beschränkungen enthält. Dies bedeutet im Wesentlichen, dass auch Nutzer außerhalb Chinas betroffen sein könnten. Kaspersky hat alle identifizierten Apps an Apple gemeldet.
Den Erkenntnissen zufolge enthalten die betrügerischen Apps grundlegende, nicht verwandte Funktionen wie Spiele, Taschenrechner oder Aufgabenmanager, um einen Anschein von Legitimität zu erzeugen und die erste Prüfung zu bestehen. Nach der Installation führen sie die Nutzer durch einen Prozess, der eine gefälschte App Store-Webseite öffnet und sie dazu ermutigt, die vermeintlich beabsichtigte Wallet-Anwendung herunterzuladen.
Dieser Installationsprozess funktioniert ähnlich wie SparkKitty, indem Apples Enterprise-Entwicklertools für die Verteilung von Unternehmens-Apps genutzt werden. Nutzer werden aufgefordert, ein Entwicklerprofil auf ihrem Gerät zu installieren, das es ihnen ermöglicht, Apps außerhalb des App Stores zu installieren. Angreifer verlassen sich darauf, dass Nutzer diesen Schritt übersehen, was die Installation von Schadsoftware ermöglicht.
Einmal installiert, sind die trojanisierten Wallet-Anwendungen darauf ausgelegt, das Verhalten der spezifischen Wallet, die sie imitieren, nachzuahmen. Sie zielen sowohl auf Hot- als auch auf Cold-Wallets ab.
Sergey Puzan, Experte für mobile Malware bei Kaspersky, erklärte, dass die Apps selbst möglicherweise keinen schädlichen Code enthalten, sie jedoch als Einstiegspunkte in einer breiteren Angriffskette dienen, die letztendlich zur Installation von Malware führt. Der Forscher warnte weiter:
„By paying a fee and setting up a developer account, the attackers can target any iOS device if the user succumbs to the phishing tactic. Users should be wary of the risks related to managing their crypto wallets even on devices that they consider safe, such as iPhones. We expect there may be more trojanized crypto apps distributed with a similar tactic.”
Gefälschtes Ledger-Gerät
Der jüngste Bericht kommt wenige Tage, nachdem ein gefälschtes Ledger Nano S Plus-Gerät, das über einen Online-Marktplatz verkauft wurde, als Teil einer ausgeklügelten Phishing-Operation entlarvt wurde, die darauf abzielt, Krypto-Wallet-Anmeldedaten zu stehlen. Das Gerät, das wie ein offizielles Produkt vermarktet und bepreist wurde, erschien zunächst echt, fiel jedoch bei der Verbindung mit Ledger Live durch die Verifizierung.
Beim Öffnen des Geräts fand der Forscher interne Komponenten, die nicht mit legitimer Hardware übereinstimmten, darunter einen Chip mit entfernten Markierungen und zusätzliche WiFi- und Bluetooth-Antennen, die in authentischen Ledger-Wallets nicht vorhanden sind. Eine weitere Untersuchung der Firmware ergab, dass sowohl PIN-Codes als auch Seed-Phrasen im Klartext gespeichert waren, zusammen mit Verweisen auf externe Server, was darauf hindeutet, dass das Gerät darauf ausgelegt war, sensible Daten zu erfassen und zu übertragen.
Der Forscher stellte fest, dass dieser Angriff keine Schwachstelle in der Sicherheit von Ledger beinhaltet, sondern stattdessen gefälschte Geräte, schädliche Apps und Phishing-Tricks verwendet, um Nutzer zu attackieren.
