Cybersicherheitsforscher haben eine Reihe bösartiger Apps im **Apple App Store** entdeckt, die seit mindestens Herbst 2025 beliebte Kryptowährungs-Wallets imitieren, um Wiederherstellungsphrasen und private Schlüssel zu stehlen. „Nach dem Start leiten diese Apps die Benutzer zu Browserseiten um, die dem App Store ähneln, und verteilen trojanisierte Versionen legitimer Wallets“, sagte **Sergey Puzan**, Forscher bei **Kaspersky**. „Die infizierten Apps sind speziell darauf ausgelegt, Wiederherstellungsphrasen und private Schlüssel zu kapern.“ ### FakeWallet erscheint im App Store Die 26 Apps, die kollektiv als **FakeWallet** bezeichnet werden, imitieren verschiedene beliebte Wallets wie Bitpie, **Coinbase**, imToken, **Ledger**, **MetaMask**, TokenPocket und **Trust Wallet**. Viele dieser Apps wurden inzwischen von **Apple** nach der Offenlegung entfernt. Es gibt keine Beweise dafür, dass diese Apps über den **Google Play Store** vertrieben wurden. Während bösartige Kryptowährungs-Wallets, die in der Vergangenheit über gefälschte Websites vertrieben wurden, iOS-Provisionierungsprofile missbrauchten, um Benutzer zur Installation zu bewegen, ist das neueste Krypto-Diebstahl-Schema in mehrfacher Hinsicht eine Verbesserung. Erstens sind die Apps direkt aus dem **Apple App Store** herunterladbar, wenn ein Benutzer sein **Apple**-Konto auf China eingestellt hat. Diese Apps haben Icons, die den Originalen ähneln, aber absichtliche Tippfehler in ihren Namen aufweisen (z. B. LeddgerNew), um ahnungslose Benutzer zum Herunterladen zu verleiten. In einigen Fällen haben die App-Namen und Icons keine Verbindung zu Kryptowährungen. Stattdessen werden sie als Platzhalter verwendet, um Benutzer durch sie hindurch zum Herunterladen der offiziellen Wallet-App zu leiten, wobei behauptet wird, sie seien aus regulatorischen Gründen „im App Store nicht verfügbar“. **Kaspersky** gab an, dass auch mehrere ähnliche Apps identifiziert wurden, die wahrscheinlich mit demselben Bedrohungsakteur in Verbindung stehen und keine bösartigen Funktionen aktiviert haben, aber dazu gefunden wurden, einen harmlosen Dienst wie ein Spiel, einen Taschenrechner oder einen Aufgabenplaner zu imitieren. Nach dem Start öffnen diese Apps einen Link im Webbrowser und nutzen Enterprise-Provisionierungsprofile, um die Wallet-App auf dem Gerät des Opfers zu installieren. „Die Angreifer haben eine breite Palette bösartiger Module entwickelt, die jeweils auf eine bestimmte Wallet zugeschnitten sind“, sagte **Puzan**. „In den meisten Fällen wird die Malware durch eine bösartige Bibliotheksinjektion geliefert, obwohl wir auch Builds gefunden haben, bei denen der ursprüngliche Quellcode der App modifiziert wurde.“   ### Taktiken und Datenexfiltration Das Endziel dieser Infektionen ist es, mnemonische Phrasen von sowohl Hot- als auch Cold-Wallets zu finden und sie an einen externen Server zu exfiltrieren, was es den Betreibern ermöglicht, die Kontrolle über die Wallets der Opfer zu übernehmen und Kryptowährungs-Assets abzuziehen oder betrügerische Transaktionen einzuleiten. Die Seed-Phrasen werden entweder durch Hooking des Codes erfasst, der für den Bildschirm verantwortlich ist, auf dem der Benutzer seine Wiederherstellungsphrase eingibt, oder durch die Bereitstellung einer Phishing-Seite, die das Opfer auffordert, seine Mnemonika als Teil eines angeblichen Verifizierungsschritts einzugeben. Es wird vermutet, dass die Kampagne das Werk von Bedrohungsakteuren sein könnte, die mit der SparkKitty-Trojaner-Kampagne im letzten Jahr in Verbindung stehen, da einige der infizierten Apps auch ein Modul zur Entwendung von Wallet-Wiederherstellungsphrasen mittels optischer Zeichenerkennung (OCR) enthalten und beide Kampagnen das Werk chinesischer Muttersprachler zu sein scheinen und gezielt Kryptowährungs-Assets angreifen. „Die **FakeWallet**-Kampagne gewinnt an Dynamik, indem sie neue Taktiken einsetzt, die von der Bereitstellung von Payloads über Phishing-Apps, die im App Store veröffentlicht werden, bis hin zur Einbettung in Cold-Wallet-Apps und der Verwendung ausgeklügelter Phishing-Benachrichtigungen reichen, um Benutzer dazu zu verleiten, ihre Mnemonika preiszugeben“, sagte **Kaspersky**. ### MiningDropper Android Malware Framework taucht auf Die Entdeckung erfolgt, während **Cyble** Licht auf ein ausgeklügeltes Android-Malware-Bereitstellungsframework namens **MiningDropper** (auch bekannt als BeatBanker) wirft, das Kryptowährungs-Mining mit Informationsdiebstahl, Fernzugriff und Banking-Malware in Angriffen kombiniert, die Benutzer in Indien sowie in Lateinamerika, Europa und Asien im Rahmen einer BTMOB RAT-Kampagne ins Visier nehmen. **MiningDropper** wurde über eine trojanisierte Version des Open-Source-Android-Anwendungsprojekts Lumolight vertrieben, wobei die Kampagnen gefälschte Websites nutzten, die Bankinstitute und regionale Transportämter nachahmten, um die Malware zu verbreiten. Nach dem Start aktiviert sie eine mehrstufige Sequenz, um den Miner und die Trojaner-Payloads aus einem verschlüsselten Asset-Archiv im Paket zu extrahieren.  „**MiningDropper** verwendet eine mehrstufige Payload-Bereitstellungsarchitektur, die XOR-basierte native Verschleierung, AES-verschlüsselte Payload-Staging, dynamisches DEX-Laden und Anti-Emulationstechniken kombiniert“, sagte **Cyble**. „**MiningDropper** verwendet eine mehrstufige Payload-Bereitstellungsarchitektur, die XOR-basierte native Verschleierung, AES-verschlüsselte Payload-Staging, dynamisches DEX-Laden und Anti-Emulationstechniken kombiniert.“ „**MiningDropper** demonstriert eine geschichtete, modulare Android-Malware-Architektur, die darauf ausgelegt ist, die statische Analyse zu erschweren und gleichzeitig Bedrohungsakteuren Flexibilität bei der endgültigen Payload-Bereitstellung zu bieten. Dieses Design ermöglicht es dem Bedrohungsakteur, dasselbe Verteilungs- und Installationsframework über Hunderte von Samples hinweg wiederzuverwenden und gleichzeitig das endgültige Monetarisierungsziel an die operativen Bedürfnisse anzupassen.“