Eset hat die erste Clipper-Malware für Android im Google Play Store entdeckt . Der Schädling greift auf die Zwischenablage zu, um die Daten finanzieller Transaktionen mitzuschneiden und zu manipulieren, die sich auf Kryptowährungen beziehen.
Diebstahl und Manipulation über die Zwischenablage liegt bei Kryptowährungen nahe, weil die Adressen von Krypto-Wallets aus Sicherheitsgründen aus längeren Zeichenfolgen bestehen. Nutzer neigen daher dazu, diese über die Zwischenablage einzufügen, statt sie mühsam einzugeben. Schadsoftware dieser Clipper-Kategorie tauchte schon 2017 unter Windows auf und fand schnell erhebliche Verbreitung, da rapide Kurssprünge virtueller Währungen auch die Aufmerksamkeit von Cyberkriminellen erregte.
Android-Trojaner, die es auf das in digitalen Wallets gespeicherte Kryptogeld abgesehen hatten, meldete erstmals Dr. Web im August 2018 als Android.Clipper.1.origin und Android.clipper.2.origin. Diese gut getarnten Schädlinge ersetzten die Zeichenfolgen der digitalen Krypto-Geldbörsen durch andere, sobald sie im Zwischenspeicher erkannt wurden. Den richtigen Zahlencode übermittelte die Malware an Cyberkriminelle, die so an das Kryptogeld gelangen konnten.
Der Autor dieser Malware bot seine Trojaner-Familie aktiv in Hackerforen an. Damit zeichnete sich schon ab, dass mit zahlreichen modifizierten Clipper-Trojanern zu rechnen war, getarnt als harmlose und nützliche Software. Deren Verbreitung erfolgte aber zunächst nur über dubiose Android-App-Stores
Der jetzt von Eset bei Google Play aufgefundene und als Android/Clipper.C bezeichnete Schädling gibt sich als ein legitimer Service namens MetaMask aus. Damit zielt die Malware auf Anwender, die eine mobile Version von MetaMask nutzen wollen, das als Browser-Erweiterung einen einfachen Einstieg in die Kryptowährung Ethereum verspricht. Derzeit gibt es jedoch keine Mobil-App von MetaMask – und in diese Lücke sprangen die Betrüger. Ihre Fake-Anwendung hat tatsächlich den primären Zweck, an die Anmeldedaten und privaten Schlüssel des Opfers und letztlich an sein Ethereum-Guthaben zu kommen. Die hinterhältige App kann außerdem im Clipboard eine Wallet-Adresse von Bition oder Ethereum mit einer Adresse des Angreifers vertauschen.
Die Sicherheitsforscher von Eset entdeckten die Clipper-Malware am 1. Februar im offiziellen Android-Store. Nach Meldung an das Sicherheitsteam von Google Play wurde der Schädling inzwischen entfernt.