Check Point entdeckt Malware-App in Google Play

Forscher von Check Point haben eine schädliche App namens WalletConnect im offiziellen Android-Marktplatz Google Play entdeckt, die einen sogenannten Krypto-Drainer enthält. Er soll Vermögenswerte von Nutzern stehlen. Die bösartige App ahmt das legitime WalletConnect-Protokoll nach und lässt ihre Opfer durch ausgeklügelte Social-Engineering-Techniken glauben, es handele sich um eine sichere Methode zur Übertragung von Krypto-Währungen.

Die App wurde erstmals im März 2024 auf Google Play hochgeladen und blieb dank ihrer Umgehungstechniken mehr als fünf Monate lang unentdeckt. Sie wurde über 10.000 Mal installiert und stahl, laut Blockchain Explorer, über 70 000 US-Dollar (rund 62 600 Euro) an Krypto-Währungen von ahnungslosen Opfern.

WalletConnect ist ein Open-Source-Protokoll, das sichere Verbindungen zwischen dezentralisierten Anwendungen (dApps) und Krypto-Währungs-Wallets ermöglicht. Es wurde entwickelt, um das Nutzererlebnis von dApps zu verbessern. Allerdings ist die Verbindung mit WalletConnect oft kompliziert: Nicht alle Wallets unterstützen das Protokoll und viele Nutzer verwenden nicht die neueste Version. Angreifer nutzen dies geschickt aus und bieten eine vermeintlich einfache Lösung an – wie die gefälschte WalletConnect-App auf Google Play.

Die Sicherheitsforscher konnten Token-Transaktionen von mehr als 150 Adressen identifizieren, was auf mindestens 150 Opfer hinweist. Nur 20 Nutzer, deren Geld gestohlen wurde, hinterließen negative Bewertungen auf Google Play, was darauf hindeutet, dass viele Opfer möglicherweise nicht bemerkt haben, was mit ihrem Geld passiert ist. Als die App negative Bewertungen erhielt, überfluteten die Malware-Entwickler die Seite mit gefälschten positiven Bewertungen, um die negativen zu überdecken und die App weiterhin legitim erscheinen zu lassen. Google Play hat die App aber inzwischen entfernt.

„Trotz besserer Sicherheitsvorkehrungen für Krypto-Währungs-Wallets und eines gesteigerten Bewusstseins für Gefahren finden Cyber-Kriminelle immer raffiniertere Wege, um Nutzer zu täuschen und Sicherheitsmaßnahmen zu umgehen“, teilte Check Point mit. „Crypto-Drainer, das ist Malware, die auf den Diebstahl von Krypto-Währungen ausgelegt wurde, sind zu einer bevorzugten Methode von Angreifern geworden. Durch Phishing-Websites und -Apps, die legitime Krypto-Währungs-Plattformen nachahmen, werden Nutzer verleitet, eine illegale Transaktion zu autorisieren, welche den Drainer befähigt, digitale Vermögenswerte an die Angreifer zu übertragen.“