Untersuchungen des Cybersicherheitsunternehmens ESET haben ein „ausgeklügeltes Schema“ aufgedeckt, das Trojaner-Apps verbreitet, die als beliebte Kryptowährungs-Wallets getarnt sind.
Das bösartige Schema zielt auf mobile Geräte mit den Betriebssystemen Android oder Apple (iOS) ab, die kompromittiert werden, wenn der Benutzer eine gefälschte App herunterlädt.
Laut ESET Forschungwerden diese schädlichen Apps über gefälschte Websites verbreitet und imitieren legitime Krypto-Geldbörsen, einschließlich MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken und OneKey.
Das Unternehmen entdeckte auch 13 bösartige Apps, die sich als Jaxx Liberty Wallet ausgeben und im Google Play Store erhältlich sind. Google hat die anstößigen Apps, die mehr als 1.100 Mal installiert wurden, seitdem entfernt, aber auf anderen Websites und Social-Media-Plattformen lauern noch viele weitere.
Die Bedrohungsakteure verbreiteten ihre Waren über Social-Media-Gruppen auf Facebook und Telegram, mit der Absicht, Krypto-Assets von ihren Opfern zu stehlen. ESET behauptet, seit Mai 2021 „Dutzende trojanisierter Kryptowährungs-Wallet-Apps“ aufgedeckt zu haben. Es gab auch an, dass das Schema, von dem es glaubt, dass es das Werk einer Gruppe ist, in erster Linie auf chinesische Benutzer über chinesische Websites abzielte.
Lukáš Štefanko, der Forscher, der das Schema aufgedeckt hat, sagte, dass es andere Bedrohungsvektoren gab, wie das Senden von Seed-Phrasen an den Server des Angreifers über ungesicherte Verbindungen, und fügte hinzu:
„Das bedeutet, dass die Gelder der Opfer nicht nur vom Betreiber dieses Schemas gestohlen werden können, sondern auch von einem anderen Angreifer, der dasselbe Netzwerk abhört.“
Die gefälschten Wallet-Apps verhalten sich je nach Installationsort etwas anders. Auf Android zielt es auf eine neue Kryptowährung ab, die der Benutzer möglicherweise noch nicht gehandelt hat, und fordert den Benutzer auf, die entsprechende Brieftasche zu installieren. Unter iOS müssen die Apps mit beliebigen vertrauenswürdigen Code-Signing-Zertifikaten heruntergeladen werden, die den App Store von Apple umgehen. Dies bedeutet, dass der Benutzer zwei Brieftaschen gleichzeitig installieren kann, die echte und den Trojaner, aber eine geringere Bedrohung darstellt, da sich die meisten Benutzer auf die App Store-Verifizierung für ihre Apps verlassen.
Verwandt: Hodler aufgepasst! Neue Malware zielt auf MetaMask und 40 andere Krypto-Geldbörsen ab
ESET rät Kryptowährungsinvestoren und -händlern, nur Wallets aus vertrauenswürdigen Quellen zu installieren, die mit der offiziellen Website der Börse oder des Unternehmens verlinkt sind.
Im Februar stellte Google Cloud das Virtual Machine Threat Detection (VMTD)-System vor, das nach „Cryptojacking“-Malware sucht und diese erkennt, die entwickelt wurde, um Ressourcen zu kapern, um digitale Assets zu schürfen.
Laut einem Chainalysis-Bericht vom Januar machte Kryptojacking zwischen 2017 und 2021 73 % des Gesamtwerts aus, den Malware-bezogene Wallets und Adressen erhalten haben.