Sicherheitsrisiko beim Bitcoin-Transfer: ESET entdeckt Clipper-Malware bei Google Play

Der europäische Security-Spezialiste ESET warnt vor einer ersten sogenannten Clipper-Malware im Google Play Store – diese haben die Virenanalysten des IT-Sec-Hauses aus Jena kürzlich entdeckt. Ins Visier geraten dabei Nutzer von Kryptowährungen – quasi eine Art digitaler Taschendiebstahl. Besonders gefährlich ist der Schädling für Besitzer der Kryptowährungen Bitcoin und Ethereum: Er kann den Inhalt der Zwischenablage auf den genutzten Android-Geräten verändern und Transaktionen so umleiten. Statt in das Wallet des Finanzpartners wandern die digitalen Währungen in die Geldbeutel der Kriminellen, indem eine andere Adresse in die Zwischenablage geschrieben wird.

Der von ESET als Android/Clipper.C erkannte neue Schädling nutzt die Bequemlichkeit der Benutzer von Kryptowährungen wie Bitcoin und Ethereum aus. Diese geben für Währungstransfers selten manuell die komplexen Wallet-Adressen ein, sondern kopieren diese häufig (was angesichts der Komplexität der Adressen aber auch naheligend ist). Dadurch werden sie kurzzeitig in der Zwischenablage des Betriebssystems abgelegt. Die Malware kann dort die Adresse einfach gegen eine eigene Zieladresse austauschen.

Neu ist die Masche indes nicht: Clipper-Malware tauchte das ersten Mal 2017 auf Windows-Betriebssystemen auf und auch Kaspersky warnte bereits vor etwas mehr als einem Jahr vor entsprechenden Cyber-Gefahren. Auch die ESET-Forscher konnten bereits im letzten Jahr nachweisen, dass es drei solcher Schädlinge bis zu download.cnet.com geschafft hatten – einer der beliebtesten Download-Plattformen weltweit. Im August 2018 wurde schließlich der erste Android.Clipper überhaupt in Untergrundforen entdeckt. Seitdem tauchte diese Art Malware in mehreren zweifelhaften App-Stores auf.

Android/Clipper.C nutzt Bequemlichkeit der Nutzer aus

Das Problem dabei: Anders als bei iOS, wo ohne größeren Jailbreak-Aufwand Apps nur aus dem offiziellen Apple-Store zu installieren sind, können Android-Nutzer auf verschiedene Quellen zurückgreifen und auch solche Apps installieren, die gar nicht im offiziellen Android-Store Google Play erhältlich sind. Davon abgesehen kam es in der Vergangenheit mehr als einmal vor, dass verseuchte Apps durch die Sicherheitskontrolle bei Google schlüpften und den Freigabeprozess passierten. In den meisten Fällen lag das daran, dass die ursprüngliche App keine Malware enthielt und diese erst in einer späteren Version, die weniger streng begutachtet wurde, eingeschoben wurde.

Android-Nutzer, die ihre Downloads ausschließlich aus dem Google Play Store beziehen, schienen bis 2019 davor sicher. Dies ändert sich nun, nachdem ESET-Forscher die Schadsoftware in Googles offiziellem Store nachweisen konnten.

Zum Glück haben wir den Clipper bereits kurz nach seinem Upload in den Store entdeckt. Wir haben den Sachverhalt dem Google Play Security Team gemeldet, welches kurz daraufhin die App entfernte. Clipper-Malware ist nicht mehr länger nur ein Problem von Windows-Anwendern oder dubiosen Android-Foren. Jetzt betrifft das Problem auch den durchschnittlichen Android-Anwender.“

Lukáš Štefanko, Malware-Experte bei ESET

Vor allem Bitcoin- und Ethereum-Besitzer gefährdet

Die jetzt entdeckte Bitcoin-Malware ahmt einen legitimen Dienst namens MetaMask nach. Dieser ermöglicht es, dezentrale Ethereum-Anwendungen im Browser auszuführen. Dazu ist es nicht notwendig, einen vollen Ethereum-Knoten zu betreiben. Der Dienst wird dazu als Add-On für Chrome und Firefox angeboten. Eine mobile App existiert nicht. „Es scheint eine rege Nachfrage nach einer mobilen Version von MetaMask zu geben“, weiß Stefanko. „Das nutzen Cyber-Kriminelle aus, indem sie ihren Schadcode entsprechend verkleiden.“ Die gefundene Malware hat es vor allem auf die Bitcoin- und Ethereum-Werte seiner Opfer abgesehen. Dazu blendet sie lediglich ein gefälschtes Formular ein. In dieses soll der Anwender seine Wallet-Adresse eingeben und somit den Angreifern zugänglich machen.

„Mit einem installierten Clipper könnte es gar nicht leichter sein, digitale Werte zu stehlen. Es sind die Opfer selbst, die diese den Angreifern unfreiwillig zuschicken“, erklärt Lukáš Štefanko. Diese erste Entdeckung von Clipper-Malware im Google Play Store verdeutlicht einmal mehr die Notwendigkeit, dass Android-Nutzer sich mit den Security-Grundregeln beschäftigen sollten – es reicht einfach nicht aus, sich auf den jeweiligen offiziellen App-Store zu verlassen. Um sich vor Clipper und anderer Malware zu schützen, raten Experten dazu, sämtliche Betriebssystem-Updates sowie (natürlich!) eine vertrauenswürdige Schutz-App zu installieren.

Außerdem sollten Apps nur aus dem Original Play Store bezogen werden, auch wenn das hier ja gerade nicht ausgereicht hat, um sicher zu sein. Hinzu kommt eine weitere Vorsichtsmaßnahme im Umgang mit Krypto-Währungen: Hier sollten die Nutzer die Zwischenablage sorgfältig überprüfen, um zu sehen, ob die ausgewählten Daten auch den gewünschten entsprechen. Indikatoren einer Infektion und technische Details finden sich in einem Blogeintrag auf WeLiveSecurity. tw