Android-Malware stiehlt Kryptogeld

Eset hat die erste Clipper-Malware für Android im Google Play Store entdeckt. Der Schädling greift auf die Zwischenablage zu, um die Daten finanzieller Transaktionen mitzuschneiden und zu manipulieren, die sich auf Kryptowährungen beziehen.

Diebstahl und Manipulation über die Zwischenablage liegt bei Kryptowährungen nahe, weil die Adressen von Krypto-Wallets aus Sicherheitsgründen aus längeren Zeichenfolgen bestehen. Nutzer neigen daher dazu, diese über die Zwischenablage einzufügen, statt sie mühsam einzugeben. Schadsoftware dieser Clipper-Kategorie tauchte schon 2017 unter Windows auf und fand schnell erhebliche Verbreitung, da rapide Kurssprünge virtueller Währungen auch die Aufmerksamkeit von Cyberkriminellen erregte.

Android-Trojaner, die es auf das in digitalen Wallets gespeicherte Kryptogeld abgesehen hatten, meldete erstmals Dr. Web im August 2018 als Android.Clipper.1.origin und Android.clipper.2.origin. Diese gut getarnten Schädlinge ersetzten die Zeichenfolgen der digitalen Krypto-Geldbörsen durch andere, sobald sie im Zwischenspeicher erkannt wurden. Den richtigen Zahlencode übermittelte die Malware an Cyberkriminelle, die so an das Kryptogeld gelangen konnten.

Der Autor dieser Malware bot seine Trojaner-Familie aktiv in Hackerforen an. Damit zeichnete sich schon ab, dass mit zahlreichen modifizierten Clipper-Trojanern zu rechnen war, getarnt als harmlose und nützliche Software. Deren Verbreitung erfolgte aber zunächst nur über dubiose Android-App-Stores

Der jetzt von Eset bei Google Play aufgefundene und als Android/Clipper.C bezeichnete Schädling gibt sich als ein legitimer Service namens MetaMask aus. Damit zielt die Malware auf Anwender, die eine mobile Version von MetaMask nutzen wollen, das als Browser-Erweiterung einen einfachen Einstieg in die Kryptowährung Ethereum verspricht. Derzeit gibt es jedoch keine Mobil-App von MetaMask – und in diese Lücke sprangen die Betrüger. Ihre Fake-Anwendung hat tatsächlich den primären Zweck, an die Anmeldedaten und privaten Schlüssel des Opfers und letztlich an sein Ethereum-Guthaben zu kommen. Die hinterhältige App kann außerdem im Clipboard eine Wallet-Adresse von Bition oder Ethereum mit einer Adresse des Angreifers vertauschen.

Die Sicherheitsforscher von Eset entdeckten die Clipper-Malware am 1. Februar im offiziellen Android-Store. Nach Meldung an das Sicherheitsteam von Google Play wurde der Schädling inzwischen entfernt.

ZDNet.de Redaktion

Recent Posts

Ransomware-Gruppe Hive zerschlagen

An der Beschlagnahmung von Servern sind auch das BKA und die Polizei in Reutlingen beteiligt.…

7 Minuten ago

Google schließt schwerwiegende Lücken in Chrome 109

Zwei Anfälligkeiten sind mit einem hohen Risiko behaftet. Angreifer können unter Umständen Schadcode einschleusen und…

17 Stunden ago

Beispielcode für kritische Spoofing-Lücke in der Windows CryptoAPI veröffentlicht

Patches liegen bereits seit August 2022 vor. Forscher von Akamai finden immer noch zahlreiche angreifbare…

18 Stunden ago

IBM steigert Gewinn um 16 Prozent im vierten Quartal

Der Umsatz verharrt auf Vorjahresniveau. Das Fiskaljahr schließt IBM mit einem Überschuss von 1,8 Milliarden…

18 Stunden ago

Dockingstation mit 12 Anschlüssen

Notebooks und Tablets haben meist zu wenig Anschlüsse. Eine Anschlussstation hilft gegen die lästige Knappheit.

20 Stunden ago

„KrcD-57:rCi“ statt „123456“

Zum „Ändere dein Passwort“-Tag am 1. Februar: Eco empfiehlt starke Passwörter statt häufige Passwortwechsel.

20 Stunden ago