# FakeWallet-Kampagne: Krypto-Diebstahl-Apps zielen auf Nutzer des Apple App Store  Forscher haben ein Netzwerk von 26 bösartigen Apps im **Apple App Store** aufgedeckt, die sich als legitime Kryptowährungs-Wallets ausgeben. Das Ziel: Wiederherstellungs- oder Seed-Phrasen stehlen und die Kryptowährungsbestände der Nutzer leeren. ## Täuschende Taktiken Die hinter dieser Kampagne stehenden Akteure setzten verschiedene Techniken ein, um offizielle Produkte zu imitieren. Dazu gehörten Typosquatting (Verwendung leicht falsch geschriebener Namen) und die Erstellung gefälschter Markennamen, um Nutzer, hauptsächlich in China, zum Herunterladen der bösartigen Apps zu verleiten. Aufgrund von Beschränkungen für Kryptowährungs-bezogene Apps in China tarnten die Angreifer die bösartigen Apps als Spiele oder Taschenrechner-Dienstprogramme, wahrscheinlich in dem Versuch, die Verbote zu umgehen. ## SparkKitty-Verbindung **Kaspersky**-Forscher haben alle 26 gefälschten Apps einer einzigen Kampagne zugeordnet, die sie FakeWallet genannt haben. Sie assoziieren sie mit der **SparkKitty**-Operation, die seit letztem Jahr aktiv ist. ## Phishing und Trojanisierte Apps Nach dem Öffnen der gefälschten Apps werden die Nutzer zu Phishing-Seiten weitergeleitet, die wie legitime Portale für Kryptowährungsdienste aussehen. Diese Seiten verleiten die Opfer dazu, trojanisierte Wallet-Apps mithilfe von **iOS**-Provisionierungsprofilen herunterzuladen. Dies ist eine legitime Unternehmensfunktion, die missbraucht wird, um Malware auf Geräte zu laden, eine Technik, die auch in der SparkKitty-Kampagne beobachtet wurde.  *Gefälschte Website, die Ledger imitiert. Quelle: Kaspersky* Die trojanisierten Apps enthalten bösartigen Code, der die mnemonischen Phrasen während der Wallet-Einrichtung oder -Wiederherstellung abfängt. Diese Phrasen werden mit **RSA** und **Base64** verschlüsselt und dann an den Angreifer gesendet.  *Installation eines Provisionierungsprofils. Quelle: Kaspersky* Für Cold Wallets wie **Ledger** verwenden die Angreifer In-App-Phishing-Aufforderungen, um Nutzer dazu zu verleiten, ihre Seed-Phrasen manuell über gefälschte Sicherheitsüberprüfungsbildschirme einzugeben. Diese Seed-Phrasen, die für die Wallet-Portierung/Wiederherstellung bestimmt sind, ermöglichen es den Bedrohungsakteuren, die Wallet des Opfers auf ihren eigenen Geräten wiederherzustellen und die Gelder zu stehlen.  *Seed-Phrase-Phishing-Bildschirm. Quelle: Kaspersky* ## Geografisches Targeting und Abhilfemaßnahmen **Kaspersky** stellte fest, dass die Kampagne hauptsächlich Nutzer in China ins Visier nimmt. Die Malware selbst hat jedoch keine geografischen Einschränkungen, was bedeutet, dass sie potenziell Nutzer weltweit betreffen könnte, wenn die Betreiber beschließen, ihren Umfang zu erweitern. Kryptowährungsinhabern wird dringend empfohlen, den Herausgeber jeder App, die sie herunterladen, sorgfältig zu überprüfen, auch aus offiziellen App Stores. Es wird empfohlen, nur Links zu verwenden, die auf der offiziellen Website des Kryptowährungs-Wallet-Anbieters bereitgestellt werden. ## Frühere Vorfälle Dieser Vorfall folgt auf die kürzliche Entdeckung einer betrügerischen **Ledger**-App im **Apple App Store**, die Kryptowährungen im Wert von 9,5 Millionen US-Dollar von 50 **macOS**-Nutzern gestohlen hat. ## Apples Reaktion **Apple** hat alle 26 FakeWallet-Apps aus dem App Store entfernt, nachdem **Kaspersky** dies offengelegt hatte. **BleepingComputer** hat **Apple** um einen Kommentar zu den Methoden der Bedrohungsakteure zur Umgehung der App Store-Verifizierungen gebeten, hat jedoch noch keine Antwort erhalten.