Sich gegen Clipper-Malware verteidigen: Eine eingehende Analyse falscher und neu verpackter Kommunikationsanwendungen

Hauptschlussfolgerungen

• Die globale Bedrohung für Kryptowährungsnutzer durch Malware vom Typ Clipper bleibt aktiv, angetrieben durch neu verpackte Anwendungen, die Nachrichten mit Kryptowährungsadressen abfangen und durch die Adressen der Kriminellen ersetzen.

• Die neueste Version dieses Angriffs hat sich durch sehr überzeugende, aber falsche Versionen beliebter Messaging-Anwendungen sowohl auf mobilen Geräten als auch auf PCs verbreitet.

• Das Sicherheitsteam von Binance arbeitet unermüdlich daran, die Bedrohung zu überwachen, Adressen von Betrügern zu erkennen und zu blockieren und die Öffentlichkeit zu sensibilisieren, um den Nutzern zu helfen, sich vor diesem Risiko zu schützen.

Kürzlich haben wir über die anhaltende globale Bedrohung durch Clipper-Malware gesprochen, die hauptsächlich mobile Benutzer durch gefälschte und umverpackte Apps angreift, einschließlich gefälschter Binance-Anwendungen. Die Bedrohung bleibt nicht nur aktiv, sondern entwickelt sich mit der Zeit weiter und hat kürzlich ihre Verbreitungsweise geändert: gefälschte Messaging-Apps wie Telegram und WhatsApp, sowohl auf mobilen als auch auf PC-Plattformen.

In diesem Folgebereich ist es unser Ziel, unsere Benutzer weiter über die sich entwickelnden Gefahren der Clipper-Malware aufzuklären und die Maßnahmen zu skizzieren, die das Sicherheitsteam von Binance ergreift, um die Community zu schützen.

Zusammenfassung: Natur und Geschichte der Clipper-Malware

Clipper-Malware ist eine Art von Programm, das von Cyberkriminellen erstellt wurde, um die Daten der Zwischenablage abzufangen, normalerweise Kryptowährungs-Wallet-Adressen. Der Angriff besteht darin, die kopierte Adresse der Wallet des Opfers durch eine vom Hacker kontrollierte Adresse zu ersetzen. Wenn der Benutzer unwissentlich diese manipulierte Adresse bei einer Transaktion einfügt, sendet er seine Gelder an die Wallet des Hackers, ohne es zu merken.

Der erste weitreichende Vorfall dieser Art von Malware trat 2019 auf, als eine gefälschte MetaMask-App im Google Play Store auftauchte. Die Anwendung zielte darauf ab, private Schlüssel zu stehlen und in die Zwischenablage kopierte Kryptowährungs-Adressen zu ersetzen.

Seitdem hat sich die Clipper-Malware weiterentwickelt und in andere Anwendungen integriert, einschließlich Kryptowährungsbörsen und Messaging-Dienste.

In den letzten Monaten ist die Bedrohung in ihrem Ausmaß gewachsen und betrifft eine zunehmend wachsende Anzahl von Benutzern in verschiedenen Regionen. Leider bleibt die Welle von Angriffen eine Gefahr für die Krypto-Community, insbesondere weil Cyberkriminelle ihre Angriffsvektoren erweitern, um nicht nur gefälschte Börsen-Apps, sondern auch umverpackte Messaging-Apps wie Telegram und WhatsApp sowohl auf Mobilgeräten als auch auf Desktops zu umfassen.

Die sich ausbreitende Bedrohung: Gefälschte und umverpackte Apps

Der anfängliche Angriff konzentrierte sich auf gefälschte Börsen-Apps, einschließlich der Binance-App, die darauf abzielten, die Kryptowährungen der Benutzer zu stehlen. Allerdings haben wir nun einen neuen besorgniserregenden Trend entdeckt: gefälschte Telegram- und WhatsApp-Anwendungen, die von Angreifern umverpackt und über nicht offizielle Kanäle verteilt werden. Diese gefälschten Anwendungen ahmen die Funktionalität der legitimen Anwendungen nach, während sie im Hintergrund Angriffe durchführen.

Die schädlichen Apps analysieren jede Nachricht nach Wallet-Adressen und ersetzen sie durch die Adressen des Hackers, bevor sie die manipulierten Informationen dem Benutzer anzeigen.

WhatsApp (mobil)

Telegram (PC)

Telegram (mobil)

Noch besorgniserregender ist, dass dieser Angriff nicht auf mobile Geräte beschränkt ist. Die PC-Versionen dieser gefälschten Anwendungen sind ebenso gefährlich und kommen oft mit Remote Access Trojans (RATs), die den Angreifern die vollständige Kontrolle über das System des Opfers geben. Sobald sie Zugang haben, können diese RATs sensible Informationen stehlen, einschließlich Wallet-Anmeldeinformationen, und die Gelder umleiten, ohne dass der Benutzer es merkt.

Wie die Clipper-Malware funktioniert

Die Angriffe der Clipper-Malware können auf verschiedene Weisen erfolgen, drehen sich aber alle um einen Hauptmechanismus: die Manipulation der Daten der Zwischenablage, um Kryptowährungstransaktionen abzufangen. So funktioniert es in verschiedenen Szenarien:

1. Mobile Anwendungen (Telegram und WhatsApp):

   • Ein Benutzer lädt eine gefälschte Telegram- oder WhatsApp-App von einer nicht offiziellen Website herunter.

   • Die App funktioniert normal, überwacht jedoch alle Nachrichten und analysiert sie auf Wallet-Adressen.

   • Wenn eine Kryptowährungs-Wallet-Adresse erkannt wird, ersetzt die Malware sie durch die Adresse des Hackers, bevor die Nachricht dem Benutzer angezeigt wird.

   • Alternativ fängt die Malware den Moment ab, in dem der Benutzer eine in diesen gefälschten Apps angezeigte Wallet-Adresse kopiert und ändert sie beim Einfügen.

   • Der Benutzer sendet unwissentlich Gelder an den Hacker, anstatt an den vorgesehenen Empfänger.

2. PC-Anwendungen:

   • In ähnlicher Weise werden gefälschte Versionen für PC von Telegram und WhatsApp verbreitet, oft zusammen mit RATs verpackt.

   • Sobald installiert, arbeitet der RAT im Hintergrund still und gibt dem Hacker die Fernsteuerung über das System des Opfers.

   • Die Malware kann Wallet-Anmeldeinformationen stehlen oder Transaktionen direkt ändern, indem sie die Gelder in die Wallet des Angreifers umleitet.

   • Selbst wenn das Opfer die gefälschte App deinstalliert, kann der RAT bestehen bleiben und weiterhin ein Risiko darstellen.

Ziel: Verwundbare Benutzer in Asien und dem Nahen Osten

Ein erheblicher Teil der Opfer von Clipper-Malware stammt aus Regionen, in denen Google Play nicht weit verbreitet ist, wie China und dem Nahen Osten.

Aufgrund von Regierungsbeschränkungen greifen Benutzer in diesen Regionen oft auf Drittanbieter-Websites zurück, um Apps herunterzuladen. Dadurch sind sie besonders anfällig für den Download von gefälschten und umverpackten Apps. Zum Beispiel suchen viele Benutzer in China nach "Telegram下载链接" (Telegram-Download-Link) oder "Telegram 中文版下载链接" (Download-Link für die chinesische Version von Telegram), was sie zu betrügerischen Websites führt. Diese Webseiten können so raffiniert aussehen, dass es für den durchschnittlichen Benutzer schwierig wäre, sie von den offiziellen zu unterscheiden.

Angreifer verteilen häufig schädliche Anwendungen über inoffizielle Quellen wie YouTube oder Baidu, und die Apps funktionieren fast genauso wie die legitimen. Unter bestimmten Bedingungen — wie wenn der Benutzer versucht, Kryptowährungen zu senden — ändert die Malware diskret die Wallet-Adresse in eine, die dem Angreifer gehört.

Laufende Anstrengungen des Sicherheitsteams von Binance

Bei Binance hat der Schutz unserer Benutzer oberste Priorität, und unser Sicherheitsteam arbeitet aktiv daran, diese anhaltenden Bedrohungen zu bekämpfen. Wir haben verschiedene Maßnahmen ergriffen, um Angriffe der Clipper-Malware zu erkennen und zu bekämpfen:

1. Reverse Engineering und Blockierung verdächtiger Adressen: Das Red Team von Binance hat viele dieser schädlichen Anwendungen rückentwickelt und die Server sowie die von den Angreifern verwendeten Wallet-Adressen identifiziert. Dies ermöglicht es uns, Maßnahmen gegen diese schädlichen Entitäten zu ergreifen, indem wir die identifizierten Wallet-Adressen entfernen und blockieren.

2. Verbesserte Überwachung: Wir haben automatische Tracking-Systeme implementiert, um gefälschte Anwendungen und schädliche Websites zu erkennen. Dies ermöglicht es uns, schnell zu reagieren und diese Bedrohungen zu beseitigen, bevor sie unseren Benutzern schaden können.

3. Öffentliche Aufklärungskampagnen: Binance informiert aktiv unsere Community über diese Bedrohungen durch Blogbeiträge, Warnungen in sozialen Medien und E-Mails. Wir betonen die Wichtigkeit, Anwendungen nur aus offiziellen Quellen herunterzuladen, wie Google Play oder dem Apple App Store, und Drittanbieter-Websites zu vermeiden.

Wie du dich schützen kannst

Das kannst du tun, um dich vor den Bedrohungen durch die Clipper-Malware zu schützen:

1. Lade Anwendungen aus offiziellen Quellen herunter: Nutze immer legitime App-Stores wie Google Play oder den Apple App Store. Vermeide Drittanbieter-Websites, auch wenn sie scheinbar lokalisierte Versionen von Anwendungen anbieten. Sei vorsichtig beim Installieren von Anwendungen und stelle sicher, dass du die richtigen installierst.

2. Abonniere unseren offiziellen WhatsApp-Kanal: So bleibst du über die neuesten Nachrichten und Bedrohungen informiert.

3. Überprüfe die Wallet-Adressen: Überprüfe vor der Durchführung einer Kryptowährungstransaktion die kopierte Wallet-Adresse doppelt. Ziehe in Betracht, eine Wallet-Anwendung zu verwenden, die wichtige Teile der Adresse zur einfacheren Überprüfung hervorhebt.

4. Verwende robuste Sicherheitsmaßnahmen: Aktiviere die Zwei-Faktor-Authentifizierung (2FA) für alle deine Konten und aktualisiere regelmäßig die Sicherheitseinstellungen. Verwende Antivirensoftware und stelle sicher, dass sie immer aktuell ist. Weitere Schutzmaßnahmen umfassen, aber sind nicht beschränkt auf, das Abmelden nach dem Zugriff auf jede Finanzplattform, das Deaktivieren der Konnektivität und der Standortdienste sowie das Halten deiner persönlichen Informationen privat. Zuletzt, aber nicht weniger wichtig, habe immer einen Backup-Plan und sichere dein Gerät physisch, wann immer es möglich ist.

5. Achte auf verdächtige Links: Vermeide es, auf unbekannte Links in E-Mails, sozialen Medien oder Messaging-Apps zu klicken. Phishing-Kampagnen gehen oft mit der Verbreitung von Malware einher und täuschen Benutzer, um schädliche Software herunterzuladen.

Abschließende Überlegungen

Die Bedrohung durch Clipper-Malware bleibt aktiv, und die Bandbreite der Verbreitungsmethoden hat sich über die gefälschten Binance-Apps hinaus erweitert und umfasst beliebte Kommunikationsplattformen wie Telegram und WhatsApp. Sowohl auf Mobilgeräten als auch auf PCs stellen diese gefälschten Anwendungen eine klare und reale Gefahr für Kryptowährungsbenutzer weltweit dar, insbesondere in Regionen, in denen der Zugang zu offiziellen App-Stores eingeschränkt ist.

Das Sicherheitsteam von Binance überwacht weiterhin, erkennt und reagiert auf diese Bedrohungen, aber wir benötigen deine Wachsamkeit, um einen Schritt voraus zu sein. Bleib informiert, sei vorsichtig und lade immer Apps aus vertrauenswürdigen Quellen herunter.

Um die neuesten Entwicklungen zu Bedrohungen der Cybersicherheit zu erfahren, folge den Artikeln in unserem Sicherheitsblog.

Empfohlene Lektüre

• Schütze deine Krypto: Verstehe die laufenden globalen Malware-Angriffe und was wir tun, um sie zu stoppen

• Achte auf Betrügereien in WhatsApp: und wie du berichtest, wenn du eine entdeckst

• Wie man Betrügereien mit gefälschten Dienstleistungen vermeidet und meldet

Bitte beachten Sie: Es kann Unterschiede zwischen diesem Originalinhalt in Englisch und jeder übersetzten Version geben (diese Versionen können von KI generiert werden). Bitte konsultieren Sie die Originalversion in Englisch, um die genauesten Informationen zu erhalten, falls Unterschiede auftreten.