Hacker kapern verwaiste Linux-Apps im Snap Store und stehlen Kryptowährungen, warnen Experten

Snapcraft, die Plattform von Canonical, die es Linux-Nutzern ermöglicht, Apps zu installieren, wird laut Sicherheitsexperten von schädlicher Software überschwemmt. Hacker übernehmen vor allem verlassene oder inaktive Apps im Canonical Snap Store und passen sie an, um Kryptowährungen zu stehlen.

Forscher des Cybersicherheitsunternehmens Anchore sprechen von einer aggressiven Kampagne. Es gelingt den Angreifern, trotz automatischer Kontrollen Malware im Snap Store zu verbreiten.

Was ist Snapcraft und was sind Snaps?

Snapcraft ist das Ökosystem hinter dem Snap Store, einem App-Store für Linux. Apps in diesem Store werden Snaps genannt. Ein Snap ist ein Softwarepaket, das ein Programm und die wichtigsten benötigten Komponenten enthält. Snaps werden oft automatisch aktualisiert und können auf mehreren Linux-Distributionen laufen.

So funktioniert die Übernahme

Laut den Forschern zielen Kriminelle auf Snaps, die schon länger nicht mehr gepflegt werden. Bei einigen Apps sind auch die Domainnamen der ursprünglichen Entwickler abgelaufen. Die Angreifer kaufen diese abgelaufenen Domains auf und nutzen sie, um über ein Zurücksetzen des Passworts Zugriff auf das Snap Store-Konto zu erhalten. Anschließend wird ein Update mit schädlichem Code eingespielt, während die App für Nutzer weiterhin legitim erscheint.

Ziel: Kryptowallets

In den meisten Fällen richten sich die Angriffe auf Kryptowallets, digitale Geldbörsen für Kryptowährungen. Anchore berichtet, dass bereits „Dutzende“ Snaps auf diese Weise missbraucht wurden. Der Schaden variiert zwischen 10.000 und 490.000 Dollar in Bitcoin und anderen Kryptowährungen.

Laut den Forschern tarnt sich die Malware als bekannte Wallet-Apps wie Exodus, Ledger Live oder Trust Wallet. Nutzer werden dann aufgefordert, ihre Wiederherstellungsphrase einzugeben. Diese Wortfolge gewährt vollen Zugang zu einer Wallet. Sobald die Wiederherstellungsphrase eingegeben wird, geht diese Information an Kriminelle. Häufig erscheint danach eine Fehlermeldung, aber zu diesem Zeitpunkt kann die Wallet bereits geleert worden sein.

Wer steckt dahinter?

Die Identität der Angreifer ist unbekannt. Die Forscher geben jedoch an, dass Hinweise darauf hindeuten, dass sich die Kriminellen möglicherweise in oder um Kroatien aufhalten.

Warum dieses Risiko groß ist

Diese Methode ist besonders tückisch, da es nicht immer um neue, unbekannte Apps geht. Gerade bestehende Apps, die zuvor zuverlässig schienen, können nach einer Übernahme unbemerkt zu Malware werden. Das erhöht die Wahrscheinlichkeit, dass Nutzer die App weiterhin installieren oder aktualisieren.

Tipps zur Risikominimierung

Nutzern wird geraten, bei Wallet-Apps und Updates besonders wachsam zu sein. Eine Wiederherstellungsphrase sollte niemals einfach in einer App oder auf einer Website eingegeben werden. Wer seine Wiederherstellungsphrase teilt, gibt de facto die Schlüssel zu seiner Kryptowallet weiter.