Über 20 bösartige Apps im Google Play Store zielen auf Seed-Phrasen ab

Eine kürzlich durchgeführte Untersuchung des Bedrohungsaufklärungsunternehmens Cyble hat eine Kampagne entdeckt, die über den Google Play Store auf Kryptowährungsbenutzer mit mehr als 20 bösartigen Android-Anwendungen abzielt.

Es wurde festgestellt, dass diese Apps, die als vertrauenswürdige Krypto-Wallets wie SushiSwap, PancakeSwap, Hyperliquid und Raydium getarnt sind, 12-Wort-Mnemonikphrasen der Benutzer abgreifen, also die Schlüssel zum Entsperren ihrer Krypto-Guthaben.

Diese Apps imitieren legitime Wallet-Oberflächen und verleiten Nutzer zur Eingabe vertraulicher Wiederherstellungsphrasen. Nach der Eingabe können die Angreifer auf die echten Wallets zugreifen und diese leeren. Obwohl Google nach dem Cyble-Bericht viele dieser gefälschten Apps entfernt hat, sind einige wenige weiterhin im Store verfügbar und wurden zur Entfernung markiert.

Laut Cybles Bericht , der Hackread.com vorliegt, tragen die betrügerischen Apps Namen und Symbole bekannter Krypto-Plattformen und erscheinen unter Entwicklerkonten, die zuvor echte Apps wie Spiele, Video-Downloader und Streaming-Tools gehostet haben. Diese Konten, von denen einige mehr als 100.000 Downloads verzeichneten, scheinen gekapert und für die Verbreitung der schädlichen Apps missbraucht worden zu sein.

In mehreren Fällen nutzen die Apps ein Entwicklungstool namens „Median Framework“, um Phishing -Websites schnell in Android-Apps umzuwandeln. Die Apps laden diese Phishing-Seiten direkt in ein WebView, ein eingebettetes Browserfenster, das den Nutzer unter dem Vorwand des Wallet-Zugriffs nach seiner Eselsbrücke fragt.

Die Kampagne ist nicht nur groß angelegt, sondern auch in ihrer Infrastruktur koordiniert. Eine von Cyble gefundene Phishing-Domain war mit über 50 ähnlichen Domains verknüpft – allesamt Teil derselben umfassenden Bemühungen, die Sicherheit von Wallets zu gefährden.

Die Forscher von Cyble entdeckten außerdem ein Muster in der Funktionsweise dieser gefälschten Apps. Viele von ihnen enthalten in ihren Datenschutzrichtlinien Links, die in Wirklichkeit zu Phishing-Websites führen, die darauf abzielen, die Wallet-Wiederherstellungsphrasen der Nutzer zu stehlen. Die Apps ähneln sich zudem in ihren Namen, was auf den Einsatz automatisierter Tools zur schnellen Erstellung und Veröffentlichung hindeutet.

Darüber hinaus sind mehrere Apps mit denselben Servern oder Websites verbunden, was darauf hindeutet, dass sie Teil eines größeren, organisierten Projekts sind. Zu den mit diesen Apps verknüpften gefälschten Domains gehören unter anderem:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Diese Domains geben sich als verschiedene Wallet-Anbieter aus und bieten Seiten an, die Nutzer dazu verleiten sollen, ihre Seed-Phrasen preiszugeben. Eine unvollständige Liste der schädlichen Apps, die Cyble zur Verfügung gestellt hat, finden Sie unten:

1. Raydium
2. SushiSwap
3. Suiet Geldbörse
4. Hyperliquid
5. BullX Krypto
6. Pfannkuchentausch
7. Meteora-Börse
8. OpenOcean-Börse
9. Harvest Finance Blog

Trotz Bemühungen, die Apps zu entfernen, läuft die Kampagne weiter. Zum Zeitpunkt dieses Berichts waren einige Apps noch im Play Store aktiv. Die schnelle Replikation dieser Apps mithilfe handelsüblicher Frameworks deutet darauf hin, dass die Angreifer problemlos weitere gefälschte Apps entwickeln könnten, wenn sie nicht schnell blockiert würden.

Dies stellt ein ernstes Risiko dar. Anders als beim traditionellen Bankwesen gibt es kein Sicherheitsnetz gegen Kryptodiebstahl. Ist ein Wallet einmal geleert, ist es nahezu unmöglich, die Gelder zurückzuerhalten.

Cyble hat detaillierte Indikatoren für Kompromittierungen (IOCs) freigegeben, darunter App-Namen, Paketkennungen und Phishing-Domänen, die Sicherheitsexperten zum Blockieren oder weiteren Untersuchen verwenden können.

Diese Kampagne zeigt, wie Angreifer den ohnehin anfälligen Krypto-Bereich weiterhin über offizielle Kanäle wie App-Stores ins Visier nehmen. Während App-Plattformen daran arbeiten, bösartige Uploads abzufangen, sind Nutzer weiterhin Opfer dieser Cybersicherheitsbedrohungen . Daher wird dringend empfohlen, vorsichtig zu sein und die folgenden Schritte zu befolgen, um sich zu schützen:

Achten Sie auf Warnsignale wie eine niedrige Anzahl an Bewertungen, kürzlich neu veröffentlichte Apps oder Links zu seltsamen Domänen in Datenschutzrichtlinien.

• Vermeiden Sie das Herunterladen und Installieren unnötiger Apps.

• Aktivieren Sie Google Play Protect, um potenziell schädliche Apps zu identifizieren.

• Verwenden Sie biometrische Sicherheit und Zwei-Faktor-Authentifizierung, sofern verfügbar.

• Seien Sie beim Herunterladen von Apps aus Drittanbieter- oder offiziellen Stores immer vorsichtig.

• Geben Sie Ihre 12 Wörter umfassende Phrase niemals in eine App oder Website ein, es sei denn, Sie sind sicher, dass sie legitim ist.