Fake-App in Googles Play Store sollte Kryptogeld stehlen

Eine App im Play Store tarnte sich als Version des Dienstes Metamask, war aber Malware, die das Clipboard manipulieren und Kryptogeld stehlen sollte.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Fake-App in Googles Play Store sollte Kryptogeld stehlen

Die Fake-App im Playstore.

(Bild: Eset)

Lesezeit: 2 Min.

Sicherheitsforscher von Eset haben eine Fake-App in Googles Playstore entdeckt, deren Urheber es auf das Kryptogeldguthaben unachtsamer Nutzer abgesehen hatte. Die App gab sich als Android-Version des Browser-Addons Metamask aus, das die Nutzung von Webdiensten mit Blockchain-Backend – sogenannten Dapps – ermöglicht. Die Schadsoftware sollte Zugangsdaten wie Seeds und private Schlüssel zu Ethereum stehlen. Ebenso sollte sie überwachen, ob Bitcoin- oder Ethereum-Adressen in der Zwischenablage landen, und diese durch Adressen der Malware-Schöpfer ersetzen.

Kryptogeld-Adressen bestehen üblicherweise aus längeren Zeichenketten, die nicht auf Lesbarkeit für Menschen optimiert sind. Bei einer Transaktion übertragen die meisten Kryptogeldnutzer die Zieladressen mit Copy & Paste in die Wallet-Anwendung. Wenn dabei unbemerkt eine falsche Adresse untergejubelt wird und die Transaktion schließlich in der Blockchain erfasst ist, haben Nutzer praktisch keine Möglichkeit mehr, das Geld noch zurückzuholen.

Laut Eset ist es der erste bekannte Clipper – so nennt man Schadsoftware, die die Zwischenablage manipuliert – der seinen Weg in Googles Play Store gefunden hat. Kurz nach Erscheinen im Playstore am ersten Februar habe man die Fake-App entdeckt und an Googles Sicherheitsteam gemeldet, das die Schadsoftware auch umgehend entfernt habe. Es sei auch nicht die erste Malware im Playstore gewesen, die sich als Metamask ausgab. Hier lohnt offenbar ein Abgleich mit der offiziellen Seite des Projekts. Bislang sind dort noch keine Mobilanwendungen verzeichnet.

Die Eset-Forscher haben auch die Adressen publik gemacht, die die Malware Nutzern unterjubeln sollte. Es handelt sich um die Bitcoin-Adresse 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA sowie die Ethereum-Adresse 0xfbbb2ef692b5101f16d3632f836461904c761965. Beide verzeichnen noch keine Geldeingänge in diesem Jahr. Die Fake-App ist wohl schnell genug aufgeflogen, bevor jemand in die Falle tappen konnte.

tipps+tricks zum Thema:

(axk)