Android-Malware stiehlt Kryptogeld

Eset hat die erste Clipper-Malware für Android im Google Play Store entdeckt. Der Schädling greift auf die Zwischenablage zu, um die Daten finanzieller Transaktionen mitzuschneiden und zu manipulieren, die sich auf Kryptowährungen beziehen.

Diebstahl und Manipulation über die Zwischenablage liegt bei Kryptowährungen nahe, weil die Adressen von Krypto-Wallets aus Sicherheitsgründen aus längeren Zeichenfolgen bestehen. Nutzer neigen daher dazu, diese über die Zwischenablage einzufügen, statt sie mühsam einzugeben. Schadsoftware dieser Clipper-Kategorie tauchte schon 2017 unter Windows auf und fand schnell erhebliche Verbreitung, da rapide Kurssprünge virtueller Währungen auch die Aufmerksamkeit von Cyberkriminellen erregte.

Android-Trojaner, die es auf das in digitalen Wallets gespeicherte Kryptogeld abgesehen hatten, meldete erstmals Dr. Web im August 2018 als Android.Clipper.1.origin und Android.clipper.2.origin. Diese gut getarnten Schädlinge ersetzten die Zeichenfolgen der digitalen Krypto-Geldbörsen durch andere, sobald sie im Zwischenspeicher erkannt wurden. Den richtigen Zahlencode übermittelte die Malware an Cyberkriminelle, die so an das Kryptogeld gelangen konnten.

Der Autor dieser Malware bot seine Trojaner-Familie aktiv in Hackerforen an. Damit zeichnete sich schon ab, dass mit zahlreichen modifizierten Clipper-Trojanern zu rechnen war, getarnt als harmlose und nützliche Software. Deren Verbreitung erfolgte aber zunächst nur über dubiose Android-App-Stores

Der jetzt von Eset bei Google Play aufgefundene und als Android/Clipper.C bezeichnete Schädling gibt sich als ein legitimer Service namens MetaMask aus. Damit zielt die Malware auf Anwender, die eine mobile Version von MetaMask nutzen wollen, das als Browser-Erweiterung einen einfachen Einstieg in die Kryptowährung Ethereum verspricht. Derzeit gibt es jedoch keine Mobil-App von MetaMask – und in diese Lücke sprangen die Betrüger. Ihre Fake-Anwendung hat tatsächlich den primären Zweck, an die Anmeldedaten und privaten Schlüssel des Opfers und letztlich an sein Ethereum-Guthaben zu kommen. Die hinterhältige App kann außerdem im Clipboard eine Wallet-Adresse von Bition oder Ethereum mit einer Adresse des Angreifers vertauschen.

Die Sicherheitsforscher von Eset entdeckten die Clipper-Malware am 1. Februar im offiziellen Android-Store. Nach Meldung an das Sicherheitsteam von Google Play wurde der Schädling inzwischen entfernt.

Bernd Kling

Recent Posts

Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt

Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur…

2 Tagen ago

Hintergrund zum Tesla-Hack

Ein 19-jähriger IT-Spezialist aus Deutschland wandte sich Tesla mit der Angabe, er habe sich in…

2 Tagen ago

Remote-Access-Trojaner verbreiten sich über Microsoft Azure und AWS

Cyberkriminelle setzten statt auf eigene Infrastruktur auf die Public Cloud. Die aktuelle Kampagne läuft seit…

3 Tagen ago

Firefox 96 verbessert Effizienz des Haupt-Browserprozesses

Davon profitieren ältere Desktop-Systeme mit geringen Ressourcen. Das Update verbessert aber auch die Verarbeitung von…

3 Tagen ago

RealWear Navigator 500: Datenbrille für Industriearbeiter und Servicetechniker

Die Industriedatenbrille RealWear Navigator 500 soll Industrieunternehmen helfen, die Einführung von Zusammenarbeit, Workflows und KI-Apps…

3 Tagen ago

SOCs für den Mittelstand

Managed Service Provider, die auf Managed Detection and Response sowie externe Experten aus dem Security…

3 Tagen ago