SeedSnatcher: Neue Android-Malware plündert Krypto-Wallets

Sicherheitsforscher schlagen Alarm: Eine raffinierte Spyware namens „SeedSnatcher” zielt gezielt auf Kryptowährungsnutzer ab und stiehlt kritische Wiederherstellungsphrasen über gefälschte Apps, die via Telegram verbreitet werden.

Diese Woche identifizierte das Sicherheitsunternehmen CYFIRMA eine gefährliche neue Android-Schadsoftware, die in der Lage ist, Kryptowährungs-Wallets vollständig zu leeren. Die Malware tarnt sich als legitime Hilfsanwendung und verschafft sich nach der Installation Zugriff auf sensible Finanzdaten. Mehr noch: Sie gewährt Angreifern die vollständige Fernsteuerung über infizierte Smartphones. Die Entdeckung zeigt einen beunruhigenden Trend: Mobile Schadsoftware wird immer spezialisierter und zielt gezielt darauf ab, moderne Sicherheitsmechanismen zu umgehen.

Laut dem diese Woche veröffentlichten Forschungsbericht von CYFIRMA verbreiten Cyberkriminelle SeedSnatcher hauptsächlich über Social-Engineering-Kampagnen auf Telegram. Die Angreifer verleiten ihre Opfer dazu, eine bösartige Anwendung namens „Coin” herunterzuladen (Paketname: com.pureabuladon.auxes). Was nach einem legitimen Krypto-Tool aussieht, entpuppt sich als trojanisches Pferd für umfassende Überwachungs- und Diebstahlsfunktionen.

Nach der Installation verfolgt die Malware einen „langsamen und unauffälligen” Ansatz, um sofortige Entdeckung zu vermeiden. Zunächst fordert sie nur Standardberechtigungen wie SMS-Zugriff an, bevor sie aggressiv weitere Privilegien einfordert. Schließlich zwingt die Schadsoftware Nutzer dazu, hochriskante Zugänglichkeitsdienste und „Nutzungszugriff” zu gewähren. Diese speziellen Berechtigungen ermöglichen es der Malware, Bildschirmaktivitäten in Echtzeit zu überwachen und mit anderen Anwendungen zu interagieren – faktisch erhält der Angreifer damit „gottgleiche” Kontrolle über die Geräteoberfläche, ohne dass der Nutzer etwas bemerkt.

Passend zum Thema Android-Sicherheit: Viele Android‑Nutzer unterschätzen genau diese Risiken – Sideloading, gefährliche Berechtigungen und Overlay‑Angriffe sind gängige Tricks von Malware. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone, mit klaren Schritt‑für‑Schritt‑Anleitungen zum Prüfen von Berechtigungen, sicheren App‑Quellen und Verhalten bei verdächtigen Links. Schützen Sie Ihre Wallets und persönlichen Daten mit sofort umsetzbaren Maßnahmen. Jetzt kostenlosen Android-Schutz-Ratgeber herunterladen

Präzisionsangriff auf große Wallet-Anbieter

Das Hauptziel von SeedSnatcher ist der Diebstahl sogenannter „Seed-Phrasen” – jene 12 bis 24 Wörter umfassenden mnemonischen Wiederherstellungscodes, die vollen Zugriff auf eine Kryptowährungs-Wallet gewähren. Im Unterschied zu herkömmlichen Banking-Trojanern ist SeedSnatcher speziell darauf programmiert, hochwertige Wallet-Anwendungen zu erkennen und anzugreifen.

Sobald ein Opfer eine legitime Wallet-App öffnet – etwa MetaMask, Trust Wallet, Coinbase Wallet, Binance Chain Wallet oder TokenPocket – erkennt die Malware dies sofort. Sie löst dann einen „Overlay-Angriff” aus und blendet ein gefälschtes Fenster über der echten App ein. Dieser betrügerische Bildschirm imitiert das Design der Ziel-Wallet und fordert den Nutzer dringlich auf, seine Wiederherstellungsphrase erneut einzugeben – angeblich wegen eines Sicherheitsupdates oder zur Verifizierung.

Da das Overlay über der echten App liegt, fallen viele Nutzer auf die Täuschung herein und halten die Anfrage für authentisch. Sobald die Seed-Phrase eingegeben wird, landet sie umgehend auf dem Command-and-Control-Server (C2) der Angreifer. Mit diesen Phrasen können Cyberkriminelle die Wallet des Opfers auf eigenen Geräten klonen und binnen Minuten sämtliche Guthaben abziehen – Passwörter und biometrische Sicherungen spielen dabei keine Rolle mehr.

Chinesische Verbindungen und „Malware-as-a-Service”

Die technische Analyse der Malware-Infrastruktur deutet auf eine gut organisierte kriminelle Organisation hin. CYFIRMA-Forscher fanden in der Command-and-Control-Schnittstelle und in Entwicklernotizen chinesische Sprachelemente – ein Hinweis auf Ursprünge im chinesischsprachigen Cybercrime-Ökosystem.

Die Operation scheint als „Malware-as-a-Service” (MaaS) oder Affiliate-Programm zu funktionieren. Die Infrastruktur unterstützt ein mehrstufiges Verwaltungssystem, bei dem verschiedene „Teams” oder Affiliates die Malware verbreiten und Provisionen basierend auf erfolgreichen Infektionen und Diebstählen erhalten. Einzigartige Agenten-Kennungen im Malware-Code ermöglichen es den zentralen Betreibern nachzuvollziehen, welcher Affiliate für welches kompromittierte Gerät verantwortlich ist.

Darüber hinaus nutzt die Malware ein ganzzahlbasiertes Befehlssystem (mit Codes zwischen 2000 und 2400), um Aufgaben auszuführen – eine Technik, die darauf abzielt, die Natur des Datenverkehrs vor automatisierten Sicherheitsscannern zu verschleiern. Neben Krypto-Diebstahl kann die Schadsoftware SMS-Nachrichten abfangen (um Zwei-Faktor-Authentifizierung zu umgehen), Anruflisten und Kontaktlisten auslesen und sogar USSD-Befehle ausführen, um Anrufe umzuleiten.

Die Evolution des mobilen Diebstahls

Das Auftauchen von SeedSnatcher markiert einen Wandel bei mobilen Finanzbedrohungen. Während traditionelle Banking-Trojaner oft darauf abzielen, Login-Daten für klassische Banking-Apps zu stehlen, ist SeedSnatcher speziell für die Irreversibilität von Kryptowährungs-Diebstahl konzipiert. In der Blockchain-Welt entspricht eine gestohlene Seed-Phrase der Übergabe der Schlüssel zu einem physischen Tresor – sobald Gelder transferiert sind, gibt es keine Zentralbank, die die Transaktion rückgängig machen könnte.

„Dieser Grad an Raffinesse deutet auf eine Organisation mit erheblichen Ressourcen hin”, konstatieren Sicherheitsanalysten, die die Bedrohung untersuchen. Auch die Nutzung von Telegram zur Verbreitung ist bemerkenswert, da sie die Sicherheitsprüfungen des Google Play Store umgeht. Dieser Vektor nutzt das Vertrauen aus, das Nutzer in Community-Kanäle und Direktdownloads setzen – eine gängige Praxis in der Krypto-Trading-Subkultur, wo das sogenannte „Sideloading” experimenteller Apps häufig vorkommt.

Im Vergleich zu anderen jüngsten Bedrohungen wie dem Banking-Trojaner „Albiriox”, der ebenfalls Ende 2025 auftauchte, ist SeedSnatcher zwar enger fokussiert, aber für seine spezifische Zielgruppe wohl tödlicher – angesichts des hohen Werts von Krypto-Assets und des Fehlens von Verbraucherschutz im Sektor.

Was kommt als Nächstes?

Sicherheitsexperten warnen, dass der Erfolg von SeedSnatcher in den kommenden Monaten Nachahmer-Varianten inspirieren könnte. Die modulare Natur des Codes lässt vermuten, dass Entwickler die Malware leicht aktualisieren könnten, um zusätzliche Wallets oder Banking-Apps ins Visier zu nehmen.

Für Android-Nutzer gelten strikte Schutzmaßnahmen:

• Kein Sideloading: Installieren Sie keine Anwendungen (APKs), die über Telegram, WhatsApp oder Discord verschickt werden – selbst wenn sie von vermeintlich vertrauenswürdigen Community-Mitgliedern stammen.
• Berechtigungen prüfen: Seien Sie äußerst misstrauisch bei jeder „Hilfs-App”, die Zugänglichkeitsdienste anfordert. Dies ist ein deutliches Warnsignal für Malware.
• Hardware-Wallets nutzen: Für größere Krypto-Bestände empfehlen sich Hardware-Wallets (Cold Storage), die physische Tastendrücke zur Transaktionsautorisierung erfordern – das macht softwarebasierten Seed-Diebstahl wirkungslos.

Da die Weihnachtszeit naht – eine Phase, die oft mit erhöhtem digitalem Transaktionsvolumen einhergeht – werden Nutzer dringend aufgefordert, ihre Geräteberechtigungen zu überprüfen und nicht erkannte Anwendungen umgehend zu entfernen.

PS: Viele Android‑Nutzer übersehen genau die fünf Maßnahmen, die in kritischen Fällen wie Overlay‑Attacken schützen können. Das kostenlose Sicherheitspaket fasst kompakt zusammen, wie Sie App‑Quellen prüfen, gefährliche Berechtigungen zurücknehmen und Ihr Gerät so konfigurieren, dass Seed‑Phrase‑Diebstahl deutlich unwahrscheinlicher wird. Holen Sie sich die praktische Checkliste und Schritt‑für‑Schritt‑Anleitungen für den Alltag. Jetzt das kostenlose Android-Sicherheitspaket anfordern