Apples App Store, der jahrelang als sicherster Ort im Internet für App-Downloads beworben wurde, hat Krypto-Interessierten eine peinliche Situation beschert. Forscher berichten, dass mindestens 26 betrügerische Apps die Überprüfung passiert und im Store veröffentlicht wurden. Jede einzelne dieser Apps war als legitime Kryptowährungs-Wallet getarnt.
Die Kampagne, die von den Analysten, die sie entdeckt haben, als „FakeWallet“ bezeichnet wird, gibt sich angeblich als bekannte Namen wie MetaMask, Ledger, Coinbase, Trust Wallet, TokenPocket, imToken und Bitpie aus. icoDie Apps ähneln den Originalen so sehr, dass sie auf den ersten Blick täuschen, während die Namen subtile Tippfehler (wie „LeddgerNew“ oder gedehnte Schreibweisen) nutzen, um Apples automatische Prüfungen zu umgehen. Nach der Installation leiten die Apps die Opfer entweder auf Phishing-Seiten weiter oder greifen direkt in den Bildschirm ein, auf dem die Nutzer ihre Wiederherstellungsphrasen eingeben.
Warum der asiatisch-pazifische Aspekt wichtig ist
Obwohl die Liste der Köder global erscheint, verfügen einige der imitierten Wallets, darunter Bitpie, imToken und TokenPocket, über besonders große Nutzerbasen in China, Hongkong, Taiwan und Südostasien. Sicherheitsforscher erster gemeldet Nutzer auf dem chinesischen Festland gehörten zu den ersten Zielen, und mehrere Varianten wurden mit Phishing-Angriffen in chinesischer Sprache konfiguriert. Diese regionale Ungleichverteilung ist nicht überraschend. Die Nutzung von Self-Custody-Lösungen hat in Asien rasant zugenommen, und viele Nutzer beziehen ihre Wallets über den App Store anstatt über einen Desktop-Browser.
Diese Angriffe verdeutlichen zudem eine seit Langem bestehende Sicherheitslücke bei mobilen Wallets. Hardware-Wallet-Anbieter haben jahrelang eingeschärft, dass Seed-Phrasen niemals auf ein Smartphone gelangen. Die Realität sieht jedoch anders aus: Millionen von Nutzern tun genau das bei der Registrierung, und eine überzeugende gefälschte Benutzeroberfläche genügt, um ein Wallet mit einem einzigen Klick auf „Absenden“ zu leeren.
Wie der Betrug beim Diebstahl abläuft
Es wurden zwei Angriffsmuster beobachtet. Beim ersten Muster startet die Schadsoftware und leitet den Nutzer sofort auf eine Browserseite weiter, die dem App Store nachempfunden ist. Dort wird der Nutzer aufgefordert, eine zweite, scheinbar echte Wallet zu installieren, die jedoch selbst mit einem Trojaner infiziert ist. Beim zweiten Muster lädt die App den scheinbar legitimen Registrierungsprozess der Wallet, fügt aber einen gefälschten Verifizierungsschritt ein, der die Wiederherstellungsphrase abfragt. Diese wird dann unbemerkt an einen vom Angreifer kontrollierten Server übertragen.
So oder so, das Ergebnis ist dasselbe: Die Angreifer erbeuten den Generalschlüssel und plündern die Vermögenswerte innerhalb weniger Minuten. Apple Insider früher berichtet Eine einzige solche App soll laut unabhängigen Forschern vor ihrer Entfernung rund 9.5 Millionen US-Dollar eingebracht haben. Apple hat keine konkreten Zahlen bestätigt.
Was Apple tut und was nicht
Apple hat die meisten der identifizierten Apps nach Bekanntwerden der Vorwürfe entfernt. Das Unternehmen hat sich bisher nicht dazu geäußert, wie die Apps die Überprüfung bestanden haben oder ob die Entwicklerkonten für zukünftige Updates gesperrt wurden. Für Nutzer, die eine der beanstandeten Apps installiert haben, besteht die einzige sichere Annahme darin, dass die eingegebene Seed-Phrase bereits kompromittiert ist und alle damit verbundenen Guthaben umgehend in eine neue Wallet übertragen werden müssen.
Das Gesamtbild ist weitaus düsterer als die 26 Löschungen. Das Vertrauen in App Stores schwindet im Kryptobereich, und Prüfer scheinen den Entwicklern dieser Klone stets einen Schritt hinterherzuhinken. Solange sich das nicht ändert, bleibt der sicherste Installationsweg der, den Krypto-Experten seit einem Jahrzehnt predigen: von der Website des Wallet-Anbieters herunterladen, die Entwicklersignatur überprüfen und niemals eine Seed-Phrase in ein Feld eingeben, in dem danach gefragt wird.
---------------
Autor: Seta Tsuruki
Newsroom Asien
Noch keine Kommentare
Schreiben Sie einen Kommentar