Im May 2019 stieg der Bitcoin-Kurs wieder kräftig an. Momentan steht der Kurs so hoch, wie das letzte Mal im September 2018. Es überrascht wenig, dass dieses Ereignis auch wieder Cyberkriminelle auf den Plan ruft, die das große Geschäft wittern und versuchen, User von Kryptowährungen mit Hilfe von Scams und schädlichen Apps zu kompromittieren.

Eine schädliche Kryptowährungs-App haben Reddit-User im Google Play Store entdeckt. Die Fake-App ahmt die bekannte Krypto-Wallet App Trezor nach und benutzt dabei den Namen „Trezor Mobile Wallet“. Wir sahen zuvor noch keine andere Android Malware, welche die Trezor-Marke für eigene Zwecke missbraucht. Gespannt blickten wir auf die Möglichkeiten der Fake-App. Schließlich bietet Trezor Hardware-Wallets an, die eine physische Manipulation und Authentifizierung per PIN oder die Kenntnis des sogenannten Wiederherstellungs-Seeds erfordern, um an die gesicherte Kryptowährung zu gelangen. Ähnliche Restriktionen gelten für die offizielle App „TREZOR Manager“.

Eine Analyse der Fake Trezor Kryptowährungs-App ergab folgendes:

1. Die Fake-App richtet durch die guten Sicherheitslevels von Trezor keinen Schaden an.
2. Die Trezor Fake-App steht in Verbindung mit einer weiteren Fake-App namens „Coin Wallet – Bitcoin, Ripple, Ethereum, Tether“, welche in der Lage ist, ahnungslose User um ihr Geld zu bringen.
3. Beide Fake-Apps basierend auf einem App-Template, das online verkauft wird.

Wir haben die Trezor Fake-App an das Google Security Team gemeldet und Trezor über die Veröffentlichung dieses Beitrags im Vorfeld informiert. Trezor bestätigte, dass für die User keine direkte Gefahr besteht (in Bezug auf die Trezor Fake-App). Allerdings äußerten sie Bedenken gegenüber den abgegriffenen E-Mail-Adressen, die für spätere Phishing-Kampagnen instrumentalisiert werden könnten.

Zum Zeitpunkt der Veröffentlichung dieses Artikels ist weder die Fake Trezor App noch die Fake Coin Wallet App im Google Play Store mehr zu finden.

Die Trezor Fake-App

Die sich als offizielle Trezor tarnende mobile Wallet App wurde am 1. Mai unter Angabe des Entwicklernamens „Trezor Inc.“ in den Google Play Store hochgeladen, wie man in Abbildung 1 erkennt. Insgesamt hinterließ die Trezor Fake-App Page auf den ersten Blick einen guten Eindruck – App-Name, Entwicklername, App-Kategorie, App-Beschreibung und auch die Bilder erweckten zunächst Vertrauen. Während unserer Analyse landete die Fake Trezor App sogar auf dem zweiten Platz auf der Suchergebnisseite im Google Play Store.

Abbildung 1: Fake Trezor App im Google Play Store

Wie verhält sich die Fake Trezor App?

Die Fassade fällt erst nach der Installation. Das Icon auf dem Homescreen unterscheidet sich stark von dem, was die User im Google Play Store vorfinden. Diese Unstimmigkeit deutet auf zweifelhafte Aktivitäten hin. Der Text im Icon lautet „Coin Wallet“ wie man in Abbildung 2 erkennt.

Abbildung 2: Das Icon der Trezor Fake-App nach der Installation

Startet der User die Android Fake-Anwendung ist bloß ein Login-Screen wie in Abbildung 3 zu sehen, allerdings ohne Hinweis auf Trezor. In anderen legitimen Anwendungen ist das auf diese Art nicht zu beobachten. Der generische Screen dient nur einem Zweck – dem Abgreifen von Login-Informationen – Allerdings ist unklar, welche Login-Informationen genau. Es ist auch nicht klar, welchen Nutzen diese für die Angreifer hätten, da das echte Trezor-Unternehmen mehrstufige Sicherheitslevel benutzt. Es ist egal, was ein User in die Form-Felder eingibt, alles wird an die Cyberkriminellen weitergeleitet, wie Abbildung 4 verdeutlicht.

Abbildung 3: Generischer Login-Screen der Trezor Fake-App

Abbildung 4: Eingegebene Informationen werden direkt an die Server der Cyberkriminellen gesendet

Wie man der Abbildung 4 entnimmt, sind die für den Datendiebstahl eingesetzten Server auf coinwalletinc.com gehostet. Ein Blick in das Domain-Register führte uns zu einer weiteren betrügerischen App. Sie heißt „Coin Wallet“ auf der Webseite und „Coin Wallet – Bitcoin, Ripple, Ethereum, Tether“ im Google Play Store. Die zweite Fake-App wird im Folgenden beschrieben.

Die Coin Wallet Fake-App

Beide Fake-Apps zeichnen viele Gemeinsamkeiten aus. Sie teilen nicht nur denselben Server, sondern teilweise auch gleichen Code sowie eine ähnliche Benutzeroberfläche. Die Coin Wallet Fake-App nutzt auf dem Android Homescreen das gleiche Icon wie die Trezor Fake-App.

Die Coin Wallet App wird auf der Homepage als weltweit führendes Krypto-Wallet angepriesen.

Abbildung 5: Darstellung der Coin Wallet Fake-App auf der eigenen Webseite

Die Webseite verlinkt zur Fake-App im Google Play Store. Dort war die App vom 7. Februar 2019 bis zum 5. Mai 2019 unter dem Namen „Coin Wallet – Bitcoin, Ripple, Ethereum, Tether“ (Abbildung 6) verfügbar. Während dieses Zeitraums installierten mehr als 1000 User die Fake-App.

Die Coin Wallet Webseite schien auch zur Apple Store App zu verlinken. Allerdings gelangte man unter der angegebenen URL lediglich zu einem PNG-Bild.

Abbildung 6: Die betrügerische Coin Wallet App im Google Play Store

Wie verhält sich die Fake Coin Wallet App?

Die Anwendung gibt vor, Krypto-Wallets für verschiedene Kryptowährungen verwalten zu können. Das ist allerdings nur ein Vorwand, um Kryptowährungen von den Usern zu stehlen. Wir bezeichnen das als Wallet Address Scam – wie schon in unserem letzten Beitrag zu Kryptowährungs-Malware.

Den Android-Usern wird die Generierung einer einzigartigen Wallet-Adresse vorgegaukelt, wohin sie ihre Kryptowährung transferieren können. In Wirklichkeit gehört die Adresse natürlich den Cyberkriminellen hinter der Coin Wallet Fake-App. Nur sie besitzen den dazugehörigen private Key, der benötigt wird, um wieder an die Kryptowährung zu gelangen. Die Angreifer richteten ein Wallet für jede unterstützte Kryptowährung ein. Insgesamt waren das dreizehn Stück. Allen Opfern wurde dieselbe Krypto-Wallet-Adresse (pro Kryptowährung) ausgehändigt.

Beim Vergleich der beiden hier angesprochenen Fake-Apps fallen die ähnlichen grafischen Elemente auf. Es scheint so, als ob beide auf Basis desselben Templates entstanden sind. Bei einer Google-Suche nach „coinwallet app template“ stößt man schnell auf eine allgemeine Android Krypto-Wallet Vorlage, die für 40 US-Dollar erworben werden kann. Das Template ist an sich erst einmal harmlos. Allerdings entwickelten die Cyberkriminellen daraus ein bösartiges Tool. Das zeigt, wie Cyber-Angreifer recht schnell und kostengünstig Fake-Apps bauen, die täuschend echt wirken.

Wie schütze ich mich vor Fake Kryptowährungs-Apps?

Setzt sich die Bitcoin-Rally fort, fluten sicherlich weitere Fake Kryptowährungs-Apps den Google Play Store. Wer Apps auf seinem Smartphone installiert, sollte grundlegende Sicherheitsrichtlinien beachten – ganz besonders wenn es ums Geld geht:

• Man sollte nur Kryptowährungs-Apps vertrauen, die auch von den offiziellen Webseiten verlinkt werden.
• Sensible Informationen sollten nur in vertrauenswürdige Form-Felder eingegeben werden und auch nur dann, wenn man sich von der Sicherheit und Legitimität der App überzeugt hat.
• Das Smartphone oder Tablet sollte immer auf dem neusten Stand sein, d.h. verfügbare Software-Updates am besten automatisch installieren lassen.
• Eine verlässliche Mobile Security erhöht den Schutz der persönlichen und sensiblen Daten auf dem Mobilgerät enorm.

Indicators of Compromise (IoCs)