SeedSnatcher – Krypto‑Wallet‑Diebstahl über Telegram

This content is protected against AI scraping.

Sicherheitsforschende von CyFirma berichten über die SeedSnatcher-Malware-Kampagne, die Krypto-Mnemonics stiehlt:

Der Angreifer agiert als koordiniertes Team, das eindeutige Agenten-IDs vergibt, um Infektionen zu verfolgen und Aufgaben zu verwalten. Die Verwendung der chinesischen Sprache in der Benutzeroberfläche deutet auf einen Ursprung in China oder auf chinesischsprachige Akteure hin. Die Malware umfasst Geräteprofilierung, Datenexfiltration, Befehlsausführung und gezieltes Phishing von Kryptowährungs-Wallets, was auf eine ausgereifte, skalierbare und finanziell motivierte Operation hindeutet.

Und so funktioniert der Krypto-Wallet-Diebstahl via Telegram:

  • Veröffentlichung: Unter dem Namen Coin über Telegram verbreitet.
  • Ziel: Diebstahl von Seed‑Phrasen für Kryptowährungs‑Wallets.
  • Zusätzliche Fähigkeiten:
    • Abfangen eingehender SMS, um 2‑FA‑Codes zu stehlen
    • Sammeln von Kontaktdaten, Anruflisten, Dateien und anderen sensiblen Informationen mittels Phishing‑Overlays
  • Herkunft: Hinweise aus chinesischsprachigen Anleitungen und dem Telegram‑Steuerpanel deuten auf Betreiber aus China oder chinesischsprachige Gruppen hin.
  • Technik: Dynamisches Laden von Klassen, unauffällige WebView‑Injektionen und integer‑basierte C2‑Befehle. Anfangs nur minimale Berechtigungen (SMS‑Zugriff), später Eskalation zu Dateimanager, Overlays, Kontakten, Anruflisten usw.

[https://www.cyfirma.com/research/seedsnatcher-dissecting-an-android-malware-targeting-multiple-crypto-wallet-mnemonic-phrases/]