Der Google Play Store ist die zentrale Anlaufstelle zur Installation von Android Apps. Allein deshalb ist der Vertrauensvorschuss für die zum Download angebotenen Apps gross. Dass sich Skepsis insbesondere beim Thema Cryptowallets auszahlt, beweist dieser Beitrag des Bloggers Lukas Stefanko.
4 Cryptowallets auf Google Play als Scamwallets enttarnt
Bei den betroffenen Apps handelt es sich um Fakeversionen der Ethereumwallet Meta Mask, tether und zwei Fake NEO Wallets. Die jeweiligen Apss befinden sich seit Mitte Oktober auf dem Google Play Store.
Die Fakeversion von Meta Mask zeigt beim Aufstarten einen Public Key an und fragt nach Ihrem Private Key. Grundsatz: geben Sie niemals Ihre Private Keys heraus oder weiter. Mit einer Wallet die einen Public Key anzeigt aber von sich aus keinen dazu passenden Private Key anzeigt bzw. erzeugt MUSS es sich um eine Phishingwallet handeln. Bei der Fake Meta Mask Wallet wird in allen Fällen für alle Opfer derselbe Public Key für alle potentiellen Opfer angezeigt.
Die anderen drei bösartigen Apps sind Fake Wallets, deren Zweck dazu dient, den Opfern die Erzeugung einer neuen Wallet vorzutäuschen. Tatsächlich wird lediglich eine Public Adress ohne den dazu passenden Private Key angezeigt. Falls der Nutzer keine Erfahrung mit der fubktionsweise von Cryptowährungen hat, mag er denken dass er Besitzer der Wallet ist weil er ja die App installiert hat. In Wirklichkeit wurde keine neue Wallet erzeugt, sondern es wird lediglich die Public Adress einer bestehenden Wallet angezeigt, diese gehört zu einer Wallet die dem Betrüger gehört. Sendet das Opfer nun eigene Coins an die Adresse „seiner“ neuen Fakewallet, dann haben die Coins irreversibel den Besitzer gewechselt.
Vorsicht bei Online- und Mobilewallets, Schutzmassnahme Hardwarewallets
Online- und insbesondere Mobilewallets gelten generell als die unsichersten Wallets, da die Anbieter bzw. Herausgeber kaum verifiziert werden können. Auch die Suchmaschine von Google verwies in der Vergangenheit auf zahlreiche verschiedene Scamwallets. Ein Hinweis auf eine zweifelhafte Herkunft von Onlinewallets kann ein fehlendes oder ugültiges Sicherheitszertifikat sein, erkennbar am fehlenden Schloss links oben in der Adresszeile des Browsers.
Wer solchen üblen Spielchen von vorherein ausweichen möchte, greift am besten auf Hardwarewallets wie Trezor oder Ledger Nano S zurück. Es ist kein Fall bekannt bei dem die Sicherheitsmechanismen von Hardwarewallets jemals überwunden wurde.
