26 gefälschte Krypto-Wallets im Apple App Store entdeckt

Die unter dem Namen „FakeWallet“ bekannte Malware nutzt raffinierte Täuschungen, um sowohl digitale als auch physische Wallets im Apple App Store zu plündern.

Die Sicherheit des Apple-Ökosystems gilt oft als unüberwindbar, doch Cyberkriminelle finden immer wieder kreative Wege, die strengen Kontrollen des App Stores zu umgehen. Ein aktueller Bericht von Kaspersky deckt eine großflächige Kampagne auf, bei der 26 betrügerische Anwendungen identifiziert wurden. Diese tarnen sich als namhafte Wallets wie MetaMask, Ledger, Coinbase oder Trust Wallet, um die Ersparnisse unbedarfter Nutzer abzugreifen.

Die Trojaner-Falle: Von der Taschenrechner-App zum Datendieb

Die Methodik der Hacker ist simpel, aber effektiv. Um die automatisierten Prüfprozesse von Apple zu passieren, werden die Apps zunächst als völlig harmlose Werkzeuge eingereicht, zum Beispiel als Taschenrechner, kleine Spiele oder Aufgabenplaner. Sobald diese „Stubs“ jedoch auf dem Gerät des Nutzers installiert sind, beginnt die eigentliche Schadroutine.

Nach dem Start öffnen die Apps eine im Browser eingebettete Webseite, die das Design des offiziellen App Stores täuschend echt imitiert. Dem Nutzer wird suggeriert, dass er für die Verwaltung seiner Krypto-Assets eine zusätzliche „professionelle“ App benötige. Hier schnappt die Falle zu: Die Hacker fordern den Nutzer auf, ein iOS-Entwicklerprofil zu installieren. Dieser Mechanismus, der eigentlich für Unternehmen zur internen App-Verteilung gedacht ist, erlaubt es, manipulierte Software am offiziellen App Store vorbei zu installieren (Sideloading). Laut einer Analyse auf Securelist wird auf diesem Weg eine trojanisierte Version der ursprünglichen Wallet-App auf das iPhone geschleust.

Strategische Tarnung: Das Erbe von SparkKitty

Die Experten von Kaspersky ordnen diese Kampagne mit moderater Sicherheit dem Akteur hinter SparkKitty (auch bekannt als SparkCat) zu. Diese Gruppe ist bereits seit Ende 2025 aktiv und scheint vornehmlich im chinesischsprachigen Raum verwurzelt zu sein, wie Sprachfragmente in den Log-Dateien des Schadcodes nahelegen. Da offizielle Krypto-Apps im chinesischen App Store oft eingeschränkt oder nicht verfügbar sind, nutzen die Angreifer diese Lücke gezielt aus.

Das Gefährliche: Die Malware ist nicht auf eine Region beschränkt. Da die gefälschten Apps weltweit in den Suchergebnissen auftauchen können, sind auch europäische Nutzer gefährdet. Besonders gefährlich ist die Nutzung von Typosquatting – also App-Namen, die den Originalen zum Verwechseln ähnlich sehen, aber minimale Buchstabendreher enthalten, um die Aufmerksamkeitsschwelle der Nutzer zu senken.

Hot vs. Cold Wallets: Wie die Angreifer vorgehen

Die „FakeWallet“-Malware ist modular aufgebaut und passt ihr Verhalten an das jeweils imitierte Wallet an. Dabei werden unterschiedliche Strategien verfolgt:

• Hot Wallets (Software-Wallets): Da die privaten Schlüssel hier direkt auf dem Smartphone gespeichert sind, nutzt die Malware Screen-Scraping-Techniken. Sie fängt die Darstellung während der Erstellung oder Wiederherstellung einer Wallet ab und stiehlt die Seed-Phrase (die 12 bis 24 Wörter umfassende Wiederherstellungsphrase). Sobald diese verschlüsselt an die Server der Angreifer übermittelt wurde, haben diese die volle Kontrolle über das Guthaben.
• Cold Wallets (Hardware-Wallets): Hier ist der Diebstahl technisch anspruchsvoller, da die Schlüssel physisch vom Internet getrennt sind. Anbieter wie Ledger nutzen jedoch Smartphone-Apps als Schnittstelle. Die infizierten Fake-Apps imitieren die Ledger-Live-Umgebung und blenden gefälschte Sicherheitswarnungen ein. Ziel ist es, den Nutzer durch klassisches Phishing dazu zu bewegen, seine Seed-Phrase manuell in die App einzugeben. Das ist ein Vorgang, den eine legitime Ledger-App niemals fordern würde.

Sicherheits-Check: So schützen Sie Ihre Seed-Phrasen

Trotz der Raffinesse der Angreifer lässt sich das Risiko durch ein paar Grundregeln minimieren, wie Kaspersky erklärt. Die wichtigste Regel im Krypto-Bereich bleibt: Geben Sie Ihre Seed-Phrase niemals in eine App oder auf einer Webseite ein.

1. Verifikation der Quelle: Installieren Sie Krypto-Apps ausschließlich über die Links auf den offiziellen Webseiten der Hersteller. Suchen Sie nicht blind im App Store nach Begriffen wie „MetaMask“ oder „Ledger“.
2. Finger weg von Entwicklerprofilen: Wenn eine App Sie auffordert, ein Konfigurationsprofil in den iOS-Einstellungen zu installieren, um eine zusätzliche Version der App zu erhalten, ist dies ein definitives Warnsignal für Malware.
3. Hardware-Wallets korrekt nutzen: Die Seed-Phrase Ihrer Cold Wallet darf ausschließlich auf dem Hardware-Gerät selbst eingegeben werden. Jede App-Anfrage danach ist ein Betrugsversuch.
4. Sicherheitslösungen nutzen: Auch auf iPhones können mobile Sicherheitslösungen dabei helfen, den Aufruf von bekannten Phishing-Seiten und den Download schädlicher Profile frühzeitig zu blockieren.

Apple wurde bereits über die 26 identifizierten Apps informiert und hat begonnen, diese aus dem Store zu entfernen. Doch die Erfahrung zeigt, dass die SparkKitty-Akteure oft nur wenige Tage benötigen, um unter neuem Namen zurückzukehren.