Falsche Krypto-Apps klauen Millionen Franken 

dj

4.4.2021

Eine falsche iOS-App wurde einem Bitcoin-Millionär zum Verhängnis.
Eine falsche iOS-App wurde einem Bitcoin-Millionär zum Verhängnis.
Bild: Getty Images

Falsche Krypto-Apps in den App Stores haben Nutzer*innen um Millionen Franken in Kryptowährungen gebracht.

dj

4.4.2021

Der seit Monaten andauernde Boom bei Krytowährungepn hat manche Menschen zu unverhofftem Reichtum verholfen. Der amerikanische Waschsalon-Betreiber Phillipe Christodoulou beispielsweise hatte über die vergangenen Jahre 18,1 Bitcoins angesammelt – das sind derzeit ziemlich genau eine Million Franken.

So viel Geld sollte natürlich gesichert werden. Christodoulou nutzte dafür eine sogenannte Hardware Wallet namens Trezor, ein USB-Stick-ähnliches Gerät. Um Bitcoin zu transferieren, muss man diesen Stick in den Computer einstecken – Diebstahl durch Hacks sollen so erschwert werden. 17,1 Bitcoins speicherte Christodoulou in dem Trezor.

Back-up-Option wurde zum Verhängnis

Damit man allerdings auch noch auf die Bitcoin zugreifen kann, falls die Hardware Wallet aus irgendeinem Grund zerstört werden sollte, gibt es noch eine «Seed Phrase», eine lange Anreihung von Wörtern, mit denen man ebenfalls Zugriff auf die eigenen Bitcoins bekommen kann. Diese Seed Phrase und offensichtlich laxe Sicherheit im iOS App Store wurden Christodoulou zu Verhängnis.

Er lud sich eine Trezor-App aus dem App Store herunter und gab dort seine Seed Phrase ein. Die App hatte den gleichen Namen und das gleiche Logo wie seine Hardware-Wallet-Trezor und wurde in den vermeintlich auch so sicheren App Store aufgenommen, was hätte also schiefgehen sollen? Doch kurze Zeit später waren alle bei Trezor gesicherten Bitcoins auf Nimmerwiedersehen verschwunden.



App transformierte sich im App Store

Was war geschehen? Laut «Washington Post» gab sich die App wohl zunächst als ordinäre Verschlüsselungs-App aus und wurde so von Apple genehmigt. Nachdem sie in den App Store gelassen wurde, transformierte sie sich in die vermeintliche Trezor-App zur Verwaltung der Wallet. In diesen Zustand traf Christodoulou auf die App und vertraute ihr seine Seed Phrase an.

Die Folge war der wohl endgültige Verlust seiner Bitcoins. Im App Store hatte die App hauptsächlich Fünf-Sterne-Bewertungen, offensichtlich gefälscht. Apple habe sein Vertrauen missbraucht, so Christodoulou zur «Washington Post». Das Unternehmen habe den App Store schliesslich immer als einen sicheren Ort dargestellt, gerade im Vergleich zur Android-Konkurrenz. 

Ein anderer Nutzer der gefälschten Trezor-App verlor 14'000 Dollar in Ethereum, einer weiteren Kryptowährung. Als James Fajcz daraufhin bei Apple anrief, stritt ein Vertreter jegliche Verantwortung ab. Apple solle zumindest teilweise haftbar gemacht werden, fordert dagegen Fajcz gegenüber der «Washington Post».

Häufige Betrugsmasche

Laut Sicherheitsexperten ist es ein häufiges Problem, dass Apps nach ihrem Einlass in den App Store ihre Funktionsweise ändern. Apple entdeckt das oft nur dann, wenn sich Nutzer*innen wie im aktuellen Fall beschweren. Dann ist es aber meistens schon zu spät. Auch bei Google Play wurden schon zwei Versionen einer gefälschten Trezor-App entdeckt.

Der Sicherheitsfirma Coinfirm sind fünf Fälle von Krypto-Diebstahl mit der falschen Trezor-App auf iOS und drei auf Android bekannt. Der Gesamtschaden entspricht 1,6 Millionen Dollar, mit einer vermutlich noch hohen Dunkelziffer. 

Trezor hatte nie eine offizielle App. Eine Sprecherin des tschechischen Herstellers Satoshi Labs sagte der «Washington Post», man habe Google und Apple schon seit mehreren Jahren über Fake-Apps in ihren Stores informiert, die Trezor imitieren. Vertreter der Tech-Giganten hätten sich nicht zurückgemeldet.