Steigende Kurse und wachsende Popularität ziehen nicht nur massenweise interessierte User an. Der Trend hin zu Kryptowährungen bleibt auch den Cyberkriminellen nicht verborgen. Sie finden und kreieren immer neue Wege, um sich an fremden Kryptowährungen zu bedienen. Mittlerweile beschränkt sich der Betrug um virtuelle Währungen nicht nur auf PCs. Die Android-Plattform wird mit Fake-Apps überflutet.

Gefälschte Android Kryptobörsen-Apps

Kryptobörsen-Apps sind attraktive Angriffsziele für Gauner. Das liegt nicht nur daran, dass sie bei Enthusiasten für Kryptowährungen sehr beliebt sind, sondern auch daran, dass viele der Kryptobörsen keine mobile Android App anbieten. Diese "unergründeten Territorien" wirken sehr anziehend auf Betrüger, weshalb sie auch keine Zeit verschwenden, so schnell wie möglich eigene Fake-Apps zu verteilen.

Für diese Betrugsanwendungen ist es üblich, Login-Daten von personalisierten Accounts zu stehlen (eine Form von Phishing). Mit den Informationen übernehmen die Cyberkriminellen dann ganz einfach das Kryptobörsen-Konto des Opfers. Um die Opfer in die Falle zu locken und zur Herausgabe der Login-Daten mit Passwort zu bewegen, versuchen die Gauner so wenig Aufmerksamkeit wie möglich zu erzeugen. Oder anders ausgedrückt: Ihre Apps ahmen Entwicklername, App Icon und User Interface der virtuellen Tauschbörse nach. Mit Hilfe von gefälschten Bewertungen soll auf diese Weise eine legitim wirkende App offeriert werden.

Beispiele dieser Art aus dem letzten Jahr sind gefälschte Kryptobörsen-Apps für Kryptowährungen welche die Plattform Poloniex zu imitieren versuchten. Entdeckt wurden diese Fake-Apps im Google Play Store. Hin und wieder tauchen sie dort auch wieder auf.

Fake Poloniex Apps im Google Play Store

Abbildung 1: Die Fake Poloniex Apps im Google Play Store

Gefälschte Android Wallet-Apps für Kryptowährungen

Ähnliche Phishingversuche plagen auch User von Wallet-Apps für Kryptowährungen. Hier sind die Cyberkriminellen allerdings nicht auf der Suche nach einem Passwort, sondern sie versuchen den Privatschlüssel der Wallet und die Mnemonic Phrase zu stehlen. Für die Praxis bedeutet das, dass der Einsatz, welchen Wallet-User in die Waagschale werfen, höher ist als der für Kryptobörsen-User. Ein gestohlenes Passwort kann mit Hilfe des Supports der Tauschbörse für Kryptowährungen und dem dortigen gespeichertem privaten User-Schlüssel wiederhergestellt werden. Für Wallet-User verhält es sich anders, weil sie selbst den privaten Schlüssel besitzen. Ist dieser erst einmal kompromittiert, gibt es keine Chance der Wiederherstellung.

Vor Kurzem entdeckten wir schädliches Verhalten in Fake-Apps, welche sich als MyEtherWallet ausgaben. Normalerweise handelt es sich dabei um eine bekannte Open Source Ethereum-Wallet. Die gefälschten Anwendungen tauchten über mehrere Monate hinweg des Öfteren im Android Google Play Store auf. Alle hatten es auf die privaten Schlüssel und Mnemonic Phrases der User abgesehen, welche durch unterschiedliche Login-Anmeldeformulare gestohlen werden sollten. Genau wie Poloniex besitzt auch MyEtherWallet keine offizielle mobile App. Diese Tatsache zieht Cyberkriminelle magisch an.

Fake MyEtherWallet Apps

Abbildung 2: Die Fake MyEtherWallet Apps im Google Play Store

Neben den Phishing-Apps analysierten wir auch gefälschte Android Wallet-Apps für Kryptowährungen, welche die Opfer austricksen und sie dazu bewegen, Kryptowährungen an Wallets der Angreifer zu transferieren. Diese Wallet-Adressen Betrugsmaschen folgen einer einfachen Prozedur. Es wird vorgegeben, einen Public Key für ein neues Wallet zu generieren. Das Opfer soll seine Kryptowährung an die generierte Adresse senden. Folgt der User diesen Anweisungen, verliert er alle Krypto-Coins, ohne Chance sie wiederzuerlangen.

Betrügerische Wallet-Adressen Apps

Abbildung 3: Betrügerische Wallet-Adressen Apps greifen User unterschiedlicher Kryptowährungen an

Kryptowährung schürfende Android-Malware

Der anhaltende Boom im Schürfen von Kryptowährungen steigert die Anzahl an Android basierten Krypto-Minern. Ob eine Krypto-Mining-App schädlich ist, bestimmt letztendlich die Zustimmung des Users. Folgende zwei Fragen werden aufgeworfen: Nutzt der User die Mining-Anwendung, um selbst (wissentlich) Kryptowährungen zu schürfen oder missbraucht jemand anderes einen Krypto-Miner, um über ein anderes Endgerät zu schürfen? Im letzteren Fall würden wir von Krypto-Mining-Malware sprechen.

Vor Kurzem haben wir eine Version des bekannten Spiels Bug Smasher entdeckt, die bereits ein bis fünf millionenfach installiert wurde und vor dem User versteckt, heimlich die Kryptowährung Monero schürfte.

Bug Smasher App mit versteckter Mining-Funktionalität

Abbildung 4: Die bekannte Bug Smasher App mit versteckter Mining-Funktionalität

Fake Krypto-Miners und kostenlose Giveaways

Eine separierte Kategorie von Betrug bei Kryptowährungen bilden Apps, die vorgeben, digitale Währungen zu schürfen, in Wirklichkeit aber nur Werbung einblenden. Einige Anwendungen versuchen dem User beharrsam eine fünf-Sterne-Bewertung zu entlocken. Diese Anwendungen sind nicht per se als Malware einzustufen, aufgrund ihrer Natur aber zumindest als unerwünscht.

Unser Interesse haben auch einige Fake-App-Miner geweckt, deren Entwickler sich wahrscheinlich nicht groß um die tatsächliche Sinnhaftigkeit der Anwendung kümmerten. Denn neben den zahlreichen Fake Bitcoin-Minern fanden wir auch Krypto-Miner, welche angeblich die Kryptowährung Ripple (XRP) schürfen können. Das Kuriose: Ripple ist per Definition eine nicht zu schürfende Kryptowährung.

Fake Ripple-Miner

Abbildung 5: Fake Ripple-Miner im Google Play Store

Alle oben angesprochenen Apps werden von der ESET Mobile Security entdeckt und blockiert. Google hat reagiert und die Fake-Apps aus dem Play Store entfernt. Außerdem versucht der Internetriese seine User auch mit Hilfe von Google Play Protect zu schützen.

Schutz vor den Fake-Apps für Kryptowährungen

Die folgenden Stichpunkte erläutern, wie man nicht auf die Fake-Apps für Kryptowährungen hereinfällt.

  • Android Kryptobörsen- und Wallet-Apps für Kryptowährungen sollten mit der gleichen Umsicht behandelt werden, wie das Online-Banking
  • Wer entsprechende Anwendungen herunterladen möchte, sollte sich zuvor vergewissern, ob die Kryptobörse oder das Wallet für Kryptowährungen respektive die spezifischen Plattformen überhaupt offizielle Apps anbieten. Offizielle Anwendungen werden immer auch auf den offiziellen Webpräsenzen angeboten.
  • Insofern die 2-Faktor-Authentifizierung zur Verifizierung des Kryptobörsen- oder Wallet-Accounts zur Verfügung steht, sollte man zu dieser sicheren Anmeldemethode greifen. Damit wird ein extra Schutz gewährleistet.
  • Auch Downloads über den Google Play Store sollten zuvor überprüft werden. Anhand von Anzahl an Downloads sowie Bewertungen kann nachvollzogen werden, in wie weit eine App vertrauenswürdig ist.
  • Updates für das Android Betriebssystem sowie eine verlässliche Mobile Security sorgen für einen guten Schutz gegen neuste Cyber-Bedrohungen

Wer mehr über Android basierte Betrugsmaschen rund um das Thema Kryptowährungen erfahren möchte, sollte sich das neuste ESET-Whitepaper: Cryptocurrency scams on Android ansehen.

Noch bis zum 1. März 2018 findet in Barcelona der Mobile World Congress 2018 statt. ESET-Experten referieren am Stand 41 in Halle 7 – auch rund um das Thema Sicherheit bei Kryptowährungen.