Raffinierter Betrug aufgedeckt: Gefälschte Hardware infiltriert globale Märkte und schöpft digitale Vermögenswerte ab.

Inhaltsverzeichnis: Gefälschte Ledger-Hardware-Wallets stehen im Mittelpunkt einer wachsenden Bedrohung, die sich weltweit an Kryptowährungsnutzer richtet. Ein Sicherheitsforscher hat eine groß angelegte Operation dokumentiert, bei der gefälschte Ledger Nano S Plus-Geräte über mehrere Online-Marktplätze vertrieben wurden. Die kompromittierten Einheiten scheinen mit legitimen Produkten identisch zu sein, verfügen jedoch über völlig unterschiedliche interne Hardware. Seeds, PINs und Wallet-Daten werden direkt an vom Angreifer kontrollierte Server gesendet, wodurch alle auf dem Gerät initialisierten Wallets entleert werden. Die gefälschten Geräte ersetzen den Secure-Element-Chip von Ledger durch einen ESP32-Mikrocontroller. Auf diesem Ersatzchip läuft eine modifizierte Firmware mit der Bezeichnung „Nano S+ V2 1“. Im Gegensatz zum echten Secure Element speichert diese Hardware sensible Daten im Klartext. Diese Daten werden dann an Remote-Server übertragen, die von den Angreifern hinter der Operation kontrolliert werden. Über die Hardware hinaus verbreitet die Kampagne auch eine betrügerische Version von Ledger Live. Diese gefälschte App wurde mit React Native erstellt und mit einem Debug-Zertifikat signiert. Es fängt Transaktionen ab und sendet sensible Benutzerdaten an mehrere Command-and-Control-Server. Benutzer, die diese Version herunterladen, haben keinen sichtbaren Hinweis darauf, dass etwas nicht stimmt. Der Angriff umfasst fünf verschiedene Vektoren: kompromittierte Hardware, Android-APKs, ausführbare Windows-Dateien, macOS-Installationsprogramme und iOS-Apps. Ein Sicherheitsforscher hat gerade eine groß angelegte Fälschung des Ledger Nano S Plus dokumentiert, bei der kompromittierte Geräte auf mehreren Online-Marktplätzen verkauft wurden. Die gefälschten Geräte sehen genauso aus wie die Originale, enthalten jedoch völlig andere Hardware. Anstelle von Ledgers sicherem … pic.twitter.com/6ZfP9pJkUU – TFTC (@TFTC21) 16. April 2026 Die iOS-Distribution nutzt Apples TestFlight-Plattform, um den standardmäßigen App Store-Überprüfungsprozess zu umgehen. Dieser Ansatz ermöglicht es der betrügerischen Software, Benutzer zu erreichen, ohne typische Sicherheitsüberprüfungen auszulösen. Jeder Kanal dient als unabhängiger Einstiegspunkt für denselben zugrunde liegenden Betrug. Die integrierte Echtheitsprüfungsfunktion von Ledger dient zur Überprüfung der Geräteauthentizität. Dieser Überprüfungsprozess kann jedoch umgangen werden, wenn die Hardware an der Quelle manipuliert wird. Dies macht den Ort des Kaufs zu einer kritischen Sicherheitsvariable. Durch den Kauf bei nicht autorisierten Verkäufern entfällt die einzige zuverlässige Ebene der Überprüfung auf Hardwareebene. Unabhängig davon dokumentierte der On-Chain-Ermittler ZachXBT eine weitere gefälschte Ledger Live-App, die die Überprüfung im Mac App Store von Apple bestanden hat. Allein diese Operation kostete über 50 Opfern mehr als 9,5 Millionen US-Dollar. Zu den Betroffenen gehörte auch der Musiker G. Love, der 5,92 BTC verlor, nachdem er seine Wiederherstellungsphrase in den betrügerischen Antrag eingegeben hatte. Die App präsentierte sich als legitime Ledger-Begleitsoftware. Diese beiden Vorgänge zusammen zeigen ein klares Muster, wie Angreifer Hardware-Wallet-Benutzer ins Visier nehmen. Anstatt Schwachstellen in der Firmware auszunutzen, fangen sie Benutzer ab, bevor sie ein Originalgerät erreichen. Der Betrug geschieht auf der Verteilungsebene, nicht auf der Protokollebene. Dieser Wandel macht das Nutzerverhalten und die Kaufquelle wichtiger denn je. Die bewährten Sicherheitspraktiken bleiben trotz der Weiterentwicklung der Taktiken unverändert. Hardware-Wallets sollten nur direkt auf der offiziellen Website des Herstellers gekauft werden. Keine seriöse Wallet-Software wird jemals eine 24-Wörter-Wiederherstellungsphrase auf dem Bildschirm anfordern. Jede Anwendung, die die Eingabe einer Startphrase anfordert, führt ausnahmslos einen Betrug aus. Die umfassendere Botschaft beider Vorfälle ist eindeutig. Die Hardware selbst bleibt sicher, wenn sie über geeignete Kanäle bezogen wird. Die Schwachstelle befindet sich jetzt im Ökosystem der Lieferkette und der Softwareverteilung. Um auf der sicheren Seite zu bleiben, muss gleichermaßen darauf geachtet werden, wo ein Gerät gekauft wird und wie die Begleitsoftware bezogen wird.