Warnung vor Android-Apps, die Kryptowährung-Log-ins stehlen

Cyberkriminelle setzen auf eine neue Masche: Über 280 bösartige Android-Apps wurden entdeckt, die Texterkennung nutzen, um Krypto-Geldbörsen zu plündern. Die als "SpyAgent" bekannte Schadsoftware tarnt sich dabei als legitime App etwa von Streaming-Diensten.

Raffinierte Malware entdeckt

Das Online-Magazin ArsTechnica berichtet über die raffinierte Methode, die derzeit vor allem Nutzer in Südkorea und Großbritannien ins Visier nimmt. Eine neue Welle von Malware bedroht dabei Android-Nutzer.

Das Besondere an SpyAgent ist der Einsatz von OCR-Technologie. Wie ArsTechnica berichtet, haben Sicherheitsforscher diesen Trojaner in bösartigen Apps entdeckt, die mithilfe optischer Zeichenerkennung (OCR) Zugangsdaten zu Kryptowährungen stehlen.

Die Malware durchsucht infizierte Geräte nach gespeicherten Bildern und versucht, darauf abgebildete Wiederherstellungsphrasen für Krypto-Wallets zu erkennen. Diese Seed-Phrasen, bestehend aus 12 bis 24 Wörtern, dienen als Backup-Schlüssel für digitale Geldbörsen. Viele Nutzer speichern sie als Screenshot auf ihrem Smartphone - ein fataler Fehler, wie sich nun zeigt.

Daten an unsichere Server gesendet

Neben Bildern stiehlt SpyAgent auch Kontakte, SMS-Nachrichten und allgemeine Geräteinformationen. All diese Daten werden an Command-and-Control-Server der Angreifer übermittelt. Interessanterweise waren diese Server aufgrund von Konfigurationsfehlern teilweise öffentlich zugänglich, was den Forschern tiefe Einblicke in die Funktionsweise der Malware ermöglichte.

Die Kampagne zielt bisher hauptsächlich auf Südkorea, breitet sich aber bereits auch in Großbritannien aus. Es gibt sogar Hinweise auf eine mögliche iOS-Variante in früher Entwicklung. Die Verbreitung erfolgt unter anderem über SMS-Nachrichten oder bösartige Social-Media-Posts, wo die Apps beworben und zum Download verlinkt werden. SpyAgent verseuchte Apps sind also nicht über den offiziellen Google Play Store zu finden.

Schutz vor SpyAgent und Co.

Um sich vor solchen Bedrohungen zu schützen, sollten Android-Nutzer nur Apps aus vertrauenswürdigen Quellen wie dem Google Play Store installieren. Verdächtige SMS-Nachrichten mit Links zu APK-Downloads sind grundsätzlich zu ignorieren. Zudem empfiehlt es sich, regelmäßig Google Play Protect-Scans durchzuführen und App-Berechtigungen kritisch zu prüfen. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben SpyAgent ist nicht die erste Malware, die OCR für kriminelle Zwecke einsetzt. Bereits im Juli 2023 wurden ähnliche Android-Schädlinge namens CherryBlos und FakeTrade entdeckt. Diese Entwicklung zeigt, dass Cyberkriminelle zunehmend auf ausgeklügelte Technologien setzen, um an sensible Daten zu gelangen.

Die Idee, harmlos erscheinende Programme für bösartige Zwecke zu nutzen, ist dabei nicht neu. Bereits 1972 prägte Daniel Edwards den Begriff "Trojanisches Pferd" für solche Malware. Das erste bekannte Trojanische Pferd, das Spiel "Pervading Animal", tauchte 1975 auf. Im Gegensatz zu Viren oder Würmern können sich Trojaner wie SpyAgent nicht selbstständig verbreiten, sondern sind auf die unwissentliche Mithilfe der Nutzer angewiesen.

Was haltet ihr von dieser neuen Bedrohung? Habt ihr selbst schon Erfahrungen mit Malware auf Android-Geräten gemacht? Teilt eure Gedanken und Erlebnisse in den Kommentaren!


Siehe auch: