Die Threat Analysis Group von Google hat ein ausgeklügeltes Exploit-Kit namens Coruna entdeckt, das Kryptowährungen direkt aus mobilen Wallets auf iOS-Geräten abziehen soll. Diese Entdeckung ist nicht nur wegen ihrer technischen Komplexität wichtig: Forscher sagen, dass Tools dieser Art bisher eher in Spionagekampagnen von Staaten und nicht in kriminellen Aktivitäten eingesetzt wurden. Die Umwandlung in ein kommerziell vertriebenes Kit ist ein bedeutender Wandel in der Bedrohungslandschaft für private Krypto-Nutzer.
Coruna nutzt 23 Zero-Day-Sicherheitslücken in iOS aus, von denen einige in der WebKit-Browser-Engine eingebettet sind, und funktioniert auf iOS-Versionen 13.0 bis 17.2.1. Für den Angriff ist nur eine Interaktion nötig.
Ein Opfer besucht eine kompromittierte Website, die in der Regel als Glücksspielplattform, Nachrichtenportal oder Token-Prämienseite getarnt ist, und die Kette wird automatisch ausgelöst. Das Kit nutzt WebKit-Schwachstellen aus, um lokale Berechtigungseskalationen zu erreichen, aus der Browser-Sandbox auszubrechen und Malware auf dem Gerät zu platzieren, ohne dass der Benutzer dies bemerkt.
Das Verhalten der Malware nach der Installation ist methodisch. Sie sucht nach Dateien, die mit Kryptowährungen zu tun haben, versucht, BIP39-Mnemonikphrasen aus Notizen und App-Datenbanken zu extrahieren, durchsucht die Fotobibliothek nach QR-Codes, die Wallet-Schlüssel enthalten könnten, und untersucht die Dateiverzeichnisse installierter Wallet-Anwendungen. Die Extraktion ist in der Regel abgeschlossen, lange bevor auf der Benutzerseite Anomalien erkennbar sind.
Selbstverwaltete Wallets sind am stärksten gefährdet
Benutzer, die Kryptowährungen in nicht verwahrten Anwendungen wie MetaMask, Trust Wallet und Bitget Wallet halten, gehören zu den am häufigsten angegriffenen und sind dem größten Risiko ausgesetzt. Die Forscher von Google TAG wiesen auf eine anhaltende Vertrauenslücke hin: Viele iPhone-Benutzer gehen davon aus, dass die geschlossene Architektur von iOS einen wirksamen Schutz vor dieser Art von Angriffen bietet.
Coruna wurde auf der Grundlage dieser Annahme entwickelt. Es ist besonders effektiv gegen Nutzer, die ihre Wallet-Zugangsdaten unverschlüsselt auf ihrem Gerät speichern, sowie gegen aktive DeFi- und DApp-Nutzer, deren Geräte ständig mit mehreren externen Verträgen und Protokollen verbunden sind.
Das Mobile-Security-Unternehmen IVerify hat unabhängig bestätigt, dass vergleichbare Drain-Techniken bei mindestens 42.000 Android-Geräten validiert wurden, was darauf hindeutet, dass der Druck auf Besitzer von mobilen Wallets nicht auf iOS beschränkt ist.
Apple hat noch keine Patches für alle betroffenen Versionen herausgebracht. Sicherheitsforscher raten den Besitzern von mobilen Kryptowährungen dringend, ihre Guthaben auf Hardware-Wallets zu übertragen und keine sensiblen Zugangsdaten, Seed-Phrasen, privaten Schlüssel oder Wallet-Passwörter auf mobilen Geräten zu speichern.
WEITERLESEN: Everstake, Midas und Apollo bringen konformes Yield-Token mEVUSD auf den Markt
