Kaspersky meldet 26 gefälschte Krypto-Wallet-Apps im Apple App Store

Das Cybersicherheitsunternehmen Kaspersky hat 26 betrügerische Kryptowährung-Wallet-Anwendungen im Apple App Store identifiziert. Diese Apps sind darauf ausgelegt, digitale Assets der Nutzer zu stehlen. Das Threat Research-Team des Unternehmens stellte fest, dass die Apps beliebte Krypto-Wallets imitieren, wie MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken und Bitpie. Sie kopieren die Namen und das visuelle Branding, um legitim zu wirken.

Nach dem Öffnen leiten diese Anwendungen die Nutzer auf Phishing-Seiten weiter. Diese Seiten ähneln der App Store-Oberfläche und fordern die Nutzer auf, eine zweite Anwendung herunterzuladen. Diese zweite App ist eigentlich eine trojanisierte Wallet, die Kryptowährung-Gelder abschöpfen kann.

Wie der Betrug funktioniert

Kaspersky gab an, dass die Kampagne mindestens seit Herbst 2025 aktiv ist. Mit mäßiger Gewissheit wurde sie mit den Bedrohungsakteuren hinter SparkKitty in Verbindung gebracht, einem zuvor identifizierten iOS-Malware-Stamm. Offizielle Versionen vieler dieser Wallet-Apps sind im chinesischen iOS App Store nicht verfügbar. Die meisten der entdeckten Phishing-Apps wurden speziell an Nutzer in China verteilt. Die schädliche Nutzlast selbst enthält jedoch keine regionalen Einschränkungen. Das bedeutet im Wesentlichen, dass auch Nutzer außerhalb Chinas betroffen sein könnten. Kaspersky bestätigte, dass alle identifizierten Apps bei Apple gemeldet wurden.

Den Erkenntnissen zufolge enthalten die betrügerischen Apps grundlegende, nicht zusammenhängende Funktionen wie Spiele, Taschenrechner oder Aufgabenmanager. Diese Funktionen erwecken den Anschein von Legitimität und helfen den Apps, die erste Prüfung zu bestehen. Nach der Installation führen sie die Nutzer durch einen Prozess, der eine gefälschte App Store-Webseite öffnet. Anschließend werden die Nutzer ermutigt, das herunterzuladen, was wie die beabsichtigte Wallet-Anwendung aussieht.

Dieser Installationsprozess funktioniert ähnlich wie SparkKitty. Er nutzt Apples Enterprise-Entwicklertools für die Unternehmens-App-Verteilung. Die Nutzer werden aufgefordert, ein Entwicklerprofil auf ihrem Gerät zu installieren. Dies ermöglicht ihnen, Apps von außerhalb des App Stores zu installieren. Die Angreifer setzen darauf, dass Nutzer diesen Schritt übersehen, was die Installation von Schadsoftware ermöglicht.

Nach der Installation ahmen die trojanisierten Wallet-Anwendungen das Verhalten der jeweiligen Wallet nach, die sie imitieren. Sie zielen sowohl auf Hot- als auch auf Cold-Wallets ab.

Kasperskys Experte für mobile Malware, Sergey Puzan, erklärte, dass die Apps selbst zwar möglicherweise keinen schädlichen Code enthalten, aber als Einstiegspunkte in einer umfassenderen Angriffskette dienen. Diese Kette führt letztendlich zur Installation von Malware. Puzan warnte weiter: „Durch die Zahlung einer Gebühr und die Einrichtung eines Entwicklerkontos können die Angreifer jedes iOS-Gerät angreifen, wenn der Nutzer der Phishing-Taktik erliegt. Nutzer sollten sich der Risiken bewusst sein, die mit der Verwaltung ihrer Krypto-Wallets verbunden sind, selbst auf Geräten, die sie für sicher halten, wie iPhones. Wir erwarten, dass es möglicherweise mehr trojanisierte Krypto-Apps gibt, die mit einer ähnlichen Taktik verbreitet werden."

Gefälschtes Ledger-Gerät

Der neueste Bericht erscheint wenige Tage, nachdem ein gefälschtes Ledger Nano S Plus-Gerät aufgedeckt wurde. Ein brasilianischer Cybersicherheitsforscher fand das Gerät, das über einen Online-Marktplatz als Teil einer ausgeklügelten Phishing-Operation verkauft wurde, die darauf abzielte, Krypto-Wallet-Zugangsdaten zu stehlen. Das Gerät wurde wie ein offizielles Produkt vermarktet und bepreist. Es erschien zunächst echt, bestand jedoch die Verifizierung beim Anschluss an Ledger Live nicht.

Beim Öffnen des Geräts fand der Forscher interne Komponenten, die nicht mit legitimer Hardware übereinstimmten. Dazu gehörte ein Chip mit entfernten Markierungen sowie zusätzliche WLAN- und Bluetooth-Antennen, die in authentischen Ledger-Wallets nicht vorhanden sind. Eine weitere Untersuchung der Firmware ergab, dass sowohl PIN-Codes als auch Seed-Phrases im Klartext gespeichert waren. Die Firmware enthielt auch Verweise auf externe Server. Dies deutete darauf hin, dass das Gerät darauf ausgelegt war, sensible Daten zu erfassen und zu übertragen.

Der Forscher räumte ein, dass dieser Angriff keinen Fehler in Ledgers Sicherheit beinhaltet. Stattdessen werden gefälschte Geräte, schädliche Apps und Phishing-Tricks verwendet, um Nutzer anzugreifen.

Der Beitrag Kaspersky meldet 26 gefälschte Krypto-Wallet-Apps im Apple App Store erschien zuerst auf TheCryptoUpdates.