Ein neuer Forschungsbericht hat eine Kampagne entdeckt, die versucht hat, Kryptomoneda-Portfolios durch betrügerische Anwendungen im Apple App Store zu leeren. Sicherheitsforscher haben 26 bösartige Apps identifiziert, die als bekannte Geldbörsen - Metamask, Coinbase, Trust Wallet, OneKey und andere - mit der Absicht, die Wiederherstellungsphrasen (seed Phrasen) zu erfassen und direkte Fonds Diebstahl zu ermöglichen.
Die Konstruktion der Täuschung kombiniert einfache aber effektive Techniken: orthographische Variationen des Namens der legitimen Anwendungen (typosquatting), Logos und gefälschte Fänge und bis zur Veröffentlichung dieser Apps als Spiele oder Rechner, um ihr eigentliches Ziel zu verbergen. Dieses "harmlose" Aussehen hatte einen strategischen Zweck: viele der Krypto-Anwendungen sind in bestimmten Märkten eingeschränkt oder direkt blockiert, so dass sie als harmlose Software zu präsentieren ist eine Möglichkeit, Barrieren zu überwinden und Benutzervertrauen zu gewinnen.
Laut Kasperskys Analyse sind die 26 Exemplare Teil einer einzigen Kampagne mit dem Namen FakeWallet, die Forscher auf eine frühere Operation namens SparkKitty beziehen. Wenn ein Opfer die App öffnet, leitet der Flow es zu phishing-Seiten um, die die Webcover der Krypt-Dienste perfekt imitieren. Diese Seiten bitten nicht nur um Anmeldeinformationen: Sie induzieren den Benutzer, gebrochene Versionen von Geldbörsen mit iOS-Versorgungsprofilen herunterzuladen, einen legitimen Apple-Mechanismus, der beim Missbrauch das Sideloaden von nicht vom App Store genehmigten Codes erlaubt.
Der Missbrauch von Versorgungsprofilen ist die kritische Verbindung der Betrug. Apple bietet Geschäfts- und Entwicklermechanismen, die die direkte Installation von Apps auf Geräten erleichtern; diese gleichen Mechanismen können verwendet werden, um regelmäßige Speicherbewertung zu vermeiden und schädliche Software zu verbreiten. Kaspersky dokumentiert, wie betrügerische Seiten Profile installieren, die es erlauben, die Gewindeapps außerhalb des normalen Ablaufs des App Stores auszuführen.
Diese Apps enthalten nach der Installation Code, der die mnemonic Phrasen abgreift, wenn der Benutzer ein Portfolio erstellt oder erholt. Der erfasste Text wird nummeriert und an den Betrügerbetreiber gesendet. Bei kalten Portfolios (Hardware Wallets) wie Ledger nutzten die Angreifer betrügerische Verifikations-Bildschirme innerhalb der App, um den Benutzer zu überzeugen, manuell seinen Samensatz unter Ausschluss einer Sicherheitsüberprüfung einzugeben. Diese Phrase, die nie geteilt werden sollte, ermöglicht es, das Portfolio auf ein anderes Gerät und die Vermögenswerte sofort übertragen werden.
Wir müssen es ohne Technik verstehen: Der Samensatz ist der Hauptschlüssel für ein Portfolio. Wer weiß, dass es das Portfolio neu erstellen und die Gelder bewegen kann, ohne die Möglichkeit, die Operation in den meisten Blockchains umzukehren. Deshalb wiederholen Spezialisten ein einfaches und starkes Maximum: Geben Sie nie Ihre Wiederherstellungsphrase in eine App oder Web, nicht einmal, wenn es offiziell aussieht.
Kasperskys Team warnt, dass, obwohl die Kampagne auf die Nutzer in China konzentriert, der Code und die Methoden nicht intrinsische geographische Einschränkungen enthalten: Wenn Betreiber entscheiden, ihr Ziel zu erweitern, könnten Benutzer aus anderen Regionen betroffen sein. Apple entfernte die 26 Anwendungen des App Stores nach der verantwortlichen Benachrichtigung von Kaspersky, aber es gibt immer noch Fragen, wie diese Binäre es geschafft, die ursprünglichen Kontrollen des Stores zu übergeben und ob es Verletzungen im Validierungsprozess gab.
Der Vorfall ist nicht isoliert. Letzte Woche wurde auch eine falsche Ledger-App gemeldet, um im App Store angekommen zu sein und den Diebstahl von ca. 9,5 Millionen Dollar in Kryptomonedas von den macOS-Computern der betroffenen Benutzer ermöglicht. Spezialisierte Mittel wie BlepingComputer haben versucht, mehr Informationen von Apple zu erhalten, wie die Kontrollen vermieden wurden, ohne eine sofortige Antwort zum Zeitpunkt der Veröffentlichung zu erhalten.
Welche praktischen Maßnahmen können Anwender ergreifen, um sich selbst zu schützen? Vor allem, immer die Quelle des Links überprüfen Sie verwenden, um ein Portfolio herunterzuladen: Zugriff von der offiziellen Lieferantenseite oder von den Links, die dieser Lieferant auf seinen verifizierten Kanälen veröffentlicht. Wenn eine App ein Versorgungsprofil installiert oder auf erweiterte Systemoptionen zugreift, ist es erforderlich, den Prozess standardmäßig zu verdächtigen und zu schließen, bis es legitim ist.
Darüber hinaus vermeidet es die Einführung der Saatphrase in Anwendungen oder Websites. Die Hardware-Portfolios sind so konzipiert, dass die Phrase nie aus dem Gerät kommt; wenn ein Bildschirm nach dem Saatgut "für Sicherheit" fragt, ist es ein Zeichen des Betrugs. Hardware Brieftasche Unternehmen erklären oft die sichere Verwendung der Phrase in ihren Hilferessourcen, wie Ledgers Leitfaden zu dem, was ein Samensatz ist ( Ledger Academy)
Die Aktualisierung des Betriebssystems und der Anwendungen, das sorgfältige Lesen der Identität des Entwicklers auf der Registerkarte App Store und das Misstrauen von Einrichtungen, die von Geschäftsprofilen abhängen, sind zusätzliche Schritte, um Risiken zu minimieren. Wenn Sie vor kurzem eine App installiert haben, die ein Profil angefordert hat und deren Herkunft bezweifelt, deinstallieren Sie es und entfernen Sie das zugehörige Profil aus den Geräteeinstellungen. Um den technischen Rahmen, den die Angreifer ausnutzen, besser zu verstehen, bietet die Dokumentation über Apples Entwickler- und Firmenprogramme Kontext zu Versorgungsprofilen ( Apple Developer Enterprise Programm)
Wenn Sie denken, dass Ihr Saatphrasen kompromittiert wurde, ist es am schwierigsten, die Mittel in ein neues Portfolio zu verschieben, dessen Backup nie irgendwo ausgesetzt wurde und, wenn Sie Hardware Walk verwenden, erweiterte Schutzfunktionen wie Passphrasen oder zusätzliche geschützte Konten aktivieren. Der Vorfall sollte auch dem Geldbörsenanbieter gemeldet werden und der Betrug sollte den lokalen Behörden und Plattformen gemeldet werden, in denen Sie die App gefunden haben.
Im Hintergrund erinnern diese Angriffe an eine klassische digitale Sicherheitslehre: Die Vertrauensketten sind so stark wie die schwächste Verbindung. Wenn eine schädliche App einen legitimen Service simulieren kann, liegt die Verantwortung zum Teil mit den Erkennungsmechanismen und der Vorsicht des Benutzers, aber auch mit der Notwendigkeit, dass App-Stores und Entwickler die Kontrollen und offiziellen Vertriebskanäle stärken. Die Aufrechterhaltung des Schutzes und die Anwendung digitaler Hygienepraktiken bleibt die beste Verteidigung.
Der Kaspersky-Bericht ( FakeWallet-Analyse in Securelist) und die Abdeckung von verwandten Vorfällen in spezialisierten Medien wie BleepingComputer.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...