Sicherheit bleibt einer der wichtigsten Faktoren am Kryptomarkt. Gerade in einem Umfeld, in dem Anleger zunehmend auf Self Custody setzen und ihre Coins eigenverantwortlich verwahren, steigt auch die Angriffsfläche: Wer keine Bank als Puffer hat, hat auch keine zweite Instanz, die einen Fehler rückgängig machen kann.
Genau in diese Lücke stoßen Cyberkriminelle mit zunehmend professionellen Mitteln. Ein aktueller Bericht der Sicherheitsfirma Kaspersky hat im Apple App Store 26 betrügerische Anwendungen identifiziert, die sich als bekannte Krypto-Wallets tarnen – darunter MetaMask, Ledger Live, Coinbase Wallet und Trust Wallet. Die Kampagne, intern als „FakeWallet“ bezeichnet, ist seit mindestens Ende 2025 aktiv und richtet sich gegen Selbstverwahrer weltweit.
Das Wichtigste im Überblick:
- Kaspersky hat 26 gefälschte Wallet-Apps im Apple App Store entdeckt, die Wallets wie MetaMask, Ledger und Coinbase imitieren und Nutzern ihre Seed-Phrasen stehlen.
- Die Schadsoftware gelangt über harmlos wirkende Apps ins System, lädt dann trojanisierte Wallet-Versionen per Sideloading nach und stiehlt Zugangsdaten via Screen-Scraping oder gefälschten Sicherheitswarnungen.
- Selbstverwahrer schützen sich durch einen einzigen unverrückbaren Grundsatz: Die Seed-Phrase darf niemals in eine App oder auf einer Website eingegeben werden.
Fake-Wallet-Apps im App Store: Wie der Scam funktioniert
Der Angriff beginnt unauffällig. Die Hacker reichen ihre Apps bei Apple zunächst als völlig harmlose Werkzeuge ein – Taschenrechner, einfache Spiele oder Aufgabenplaner. Diese sogenannten Stub-Apps enthalten beim Einreichungsprozess keinen erkennbar schädlichen Code und passieren so die automatisierten Prüfroutinen von Apple.
Sobald die App auf dem Gerät des Nutzers installiert ist, beginnt die eigentliche Schadroutine. Die App öffnet eine eingebettete Webseite, die das Design des offiziellen App Stores täuschend echt imitiert, und suggeriert dem Nutzer, er benötige für die Verwaltung seiner Krypto-Assets eine zusätzliche „professionelle“ Version. Der nächste Schritt ist besonders brisant: Die Angreifer fordern den Nutzer auf, ein iOS-Entwicklerprofil zu installieren – einen Mechanismus, der eigentlich für die interne App-Verteilung in Unternehmen gedacht ist. Damit wird Sideloading ermöglicht: eine manipulierte Wallet-App landet auf dem iPhone, vollständig am App Store vorbei.
Die so installierte Fake-App passt ihr Verhalten an das jeweils imitierte Wallet an. Bei Software-Wallets wie MetaMask nutzt die Malware Screen-Scraping-Techniken, um die Seed-Phrase – also die 12 bis 24 Wörter umfassende Wiederherstellungsphrase, die den vollständigen Zugriff auf eine Wallet ermöglicht – beim Erstellen oder Wiederherstellen einer Wallet abzufangen und verschlüsselt an Angreifer-Server zu übermitteln. Bei Hardware-Wallet-Apps wie Ledger Live werden stattdessen gefälschte Sicherheitswarnungen eingeblendet, die den Nutzer per klassischem Phishing dazu bringen sollen, seine Seed-Phrase manuell einzutippen. Genau das ist der entscheidende Punkt: Eine legitime Ledger-App würde das niemals fordern.
Die Konsequenz ist in beiden Fällen dieselbe: Wer seine Seed-Phrase eingibt, verliert die vollständige Kontrolle über sein Guthaben – sofort und unwiderruflich. Einzelne Opfer berichteten von Verlusten in Höhe von mehreren zehntausend US-Dollar, in einem dokumentierten Fall verlor der Dubai Blockchain Center-Mitgründer Mende Matthias über 100.000 US-Dollar durch eine gefälschte Phantom-Wallet-App.
Lies auch: Best Wallet im Test
Warum der App Store keinen zuverlässigen Schutz bietet
Das strukturelle Problem ist nicht neu, wird aber durch die FakeWallet-Kampagne besonders deutlich. Nutzer vertrauen dem Apple App Store als kuratierten, sicheren Vertriebskanal – und genau dieses Vertrauen wird hier systematisch ausgenutzt. Die gefälschten Apps kopieren Logos, App-Icons und Beschreibungstexte der Originale nahezu exakt und nutzen Typosquatting – also Namen, die den Originalen zum Verwechseln ähnlich sehen, aber minimale Buchstabendreher enthalten – um in den Suchergebnissen hoch zu ranken.
Besonders brisant ist dabei, dass die Kampagne laut Kaspersky mit moderater Sicherheit dem Akteur hinter SparkKitty (auch bekannt als SparkCat) zuzuordnen ist, der seit Ende 2025 aktiv ist und im chinesischsprachigen Raum verwurzelt scheint. Da offizielle Krypto-Apps im chinesischen App Store häufig eingeschränkt oder nicht verfügbar sind, nutzen die Angreifer diese regulatorische Lücke gezielt aus. Die Malware ist jedoch nicht regional begrenzt: Da die Apps weltweit in Suchergebnissen erscheinen können, sind auch europäische und damit deutsche Nutzer unmittelbar gefährdet.
Apple wurde über die 26 identifizierten Apps informiert und hat begonnen, diese zu entfernen. Der Fall zeigt klar: Plattformkontrollen sind keine verlässliche Schutzbarriere für Krypto-Nutzer. Die Erfahrung zeigt, dass die Akteure hinter solchen Kampagnen oft innerhalb weniger Tage unter neuen Namen zurückkehren.
Weiterlesen: Experte: Circle hat zahlreiche Krypto-Hacks verschuldet
Selbstverwahrung unter Druck: Was Anleger jetzt wissen müssen
Self Custody bedeutet maximale Kontrolle über das eigene Vermögen – aber eben auch maximale Verantwortung. Kein Intermediär kann eingreifen, keine Transaktion rückgängig gemacht werden. Wer seine Seed-Phrase in eine Fake-App eingibt, übergibt damit den vollständigen und unwiderruflichen Zugriff auf alle damit verknüpften Wallets an Angreifer.
Besonders gefährdet sind dabei paradoxerweise Nutzer von Hardware-Wallets wie Ledger oder Trezor – also genau jene, die eigentlich die sicherste Form der Verwahrung gewählt haben. Denn Hardware-Wallets benötigen Smartphone-Apps als Schnittstelle, und genau diese Apps werden durch FakeWallet imitiert. Wer beim Einrichten oder Wiederherstellen eines Hardware-Wallets eine gefälschte App verwendet und dort die Seed-Phrase eingibt, hebt den Sicherheitsvorteil des physischen Geräts vollständig auf.
Die gestohlenen Mittel werden nach dem Diebstahl schnell bewegt: Dokumentierte Fälle zeigen, dass Funds über Börseneinzahlungsadressen und Mixer weitergeleitet werden, was eine spätere Rückverfolgung erheblich erschwert. Eine Rückholung ist in der Praxis ausgeschlossen.
So schützt du dich vor gefälschten Wallet-Apps
Die wichtigste Regel im Umgang mit Krypto-Wallets lautet: Die Seed-Phrase darf niemals in eine App oder auf einer Website eingegeben werden – unter keinen Umständen, bei keiner Aufforderung, unabhängig davon, wie offiziell die Oberfläche wirkt. Jede App, die diese Eingabe verlangt, ist ein Betrugsversuch.
Krypto-Apps sollten ausschließlich über die Links auf den offiziellen Websites der Hersteller installiert werden. Die Suche nach „MetaMask“ oder „Ledger Live“ im App Store reicht nicht aus – die Suchergebnisse können manipulierte Einträge enthalten. Der Download-Link muss direkt von der verifizierten Herstellerwebsite stammen.
Wenn eine App auffordert, ein iOS-Konfigurationsprofil oder Entwicklerprofil in den Einstellungen zu installieren, um eine „erweiterte“ oder „professionelle“ Version der App zu erhalten, ist das ein definitives Warnsignal. Dieser Mechanismus wird von keiner legitimen Wallet-App genutzt und markiert die FakeWallet-Methodik eindeutig.
Für Hardware-Wallet-Nutzer gilt zusätzlich: Die Seed-Phrase darf ausschließlich auf dem physischen Hardware-Gerät selbst eingegeben werden – niemals in einer Smartphone-App, niemals auf einer Website. Das Hardware-Wallet-Setup sollte stets auf der offiziellen Herstellerwebsite begonnen werden, nicht über App-Store-Suchen. Mobile Sicherheitslösungen können darüber hinaus dabei helfen, den Aufruf bekannter Phishing-Seiten und den Download schädlicher Profile frühzeitig zu blockieren.
Der Vorfall dient als eindringliche Erinnerung: Self Custody bietet maximale Kontrolle, bringt jedoch auch maximale Verantwortung mit sich. Die technische Sicherheit eines Hardware-Wallets ist nur so stark wie die Sorgfalt beim Einrichten und Verwenden der dazugehörigen Software. Wer Sicherheitsgrundlagen missachtet – sei es durch blindes Vertrauen in App-Store-Suchergebnisse oder durch die Eingabe der Seed-Phrase auf Aufforderung – riskiert im schlimmsten Fall den vollständigen und nicht wiederherstellbaren Verlust seines Vermögens.
Jetzt mehr erfahren: Liquidchain Prognose
Warum Sie 99Bitcoins vertrauen können
99Bitcoins wurde 2013 gegründet und verfügt über ein Team von Experten, deren Erfahrung bis in die Anfänge der Kryptozeit zurückreicht.
Wöchentliche Recherche
100k+Monatliche Leser
Experten
2000+Krypto-Projekte unter die Lupe genommen
