Wie ein Bitcoin-Besitzer mit der Trezor-Scam-App Hunderttausende verlor

Trezor-Scam-App im Google Play Store und im Apple Appstore: Der tschechische Hersteller für Hardware-Wallets arbeitet zwar 2021 an einer eigenen App, hat bislang aber mit mobilen Anwendungen nichts zu tun. Wiederholt haben Betrüger sowohl im Google Play Store als auch in Apples Appstore Logo, Farben und Schriftzüge von Trezor verwendet, um eine gefakte App aufzusetzen und Kryptofans um ihre Ersparnisse zu bringen.

Angeblich sicherster Marktplatz für Apps – wirklich?

Apple wirbt damit, dass alle Apps im App Store mehrfach und sehr gründlich überprüft würden. Angeblich handelt es sich beim Appstore um den weltweit sichersten Marktplatz für Apps. Angesichts der Trezor-Scam-App, die es laut Apples eigenen Angaben bereits mehrmals in den App Store geschafft und wiederholt gelöscht wurde, darf man sich fragen: Hat Apple wirklich den weltweit sichersten Marktplatz für Apps?

Eigentlich ist das in diesem Fall eine traurige Sache. Denn zumindest die Apple-Fans, die der Trezor-Scam-App zum Opfer fielen, dürften ihren Glauben an die Marke mit dem angebissenen Apfel verloren haben. Was genau ist vorgefallen?

Trezor-Scam-App: Erst Verschlüsselung, dann Krypto-Wallet

Die App, die im App Store zugelassen wurde, sollte eigentlich nur Inhalte verschlüsseln und damit sensible Daten auf dem Smartphone sicher verwahren. Als solche wurde die App von Apple überprüft und für den Standards der Marke entsprechend befunden. Dass die App sich Trezor nannte und das Logo des tschechischen Herstellers für Hardware Wallets benutzte, fiel niemandem auf – zumindest nicht negativ.

[maxbutton id=“6″ text=“Hardware-Wallet Ledger Nano X bestellen*“ url=“https://shop.ledger.com/pages/ledger-nano-x?r=2148928beb7f“]
 

Die App kam nie von Trezor. Trezor hat bis April 2021 keine eigene mobile Anwendung im Programm, sondern ist noch mit der Entwicklung derselben beschäftigt. Apple überprüfte also entweder das verwendete Design inklusive Farben und Logo nicht in Zusammenhang mit dem Namen des gemeldeten Developers. Oder die Aneignung des fremden Designs wurde als nicht problematisch empfunden. Beides spricht nicht eben für Sorgfalt.

Einmal im App Store zugelassen, wurde die App mit dem Namen Trezor in eine Wallet für Kryptowährungen umgewandelt. Das ist eigentlich verboten. Aber Apple überprüft laut eigenen Angaben eine einmal zugelassene App nicht weiter. Erst dann, wenn Nutzer Probleme melden, erfolgt eine weitere Kontrolle. Das ist im Fall der Trezor-Scam-App geschehen. Denn die App ist nicht mehr im App Store zu finden. Der Schaden ist allerdings angerichtet.

Trezor-Scam-App überzeugte mit Design und 5-Sterne-Bewertungen

Die App trug nicht nur das Logo und die typischen Farben von Trezor, sondern wurde auch von zahlreichen Nutzern und Nutzerinnen mit 5 Sternen bewertet. Um die 1.000 Downloads zusammen mit der guten Bewertung und dem Kryptofans bekannten Design/Logo ließen die App vertrauenswürdig erscheinen.

Nach dem Laden der App wurden die Nutzer und Nutzerinnen aufgefordert, ihre persönlichen Zugangsdaten und Sicherheitscodes einzugeben, die den Zugriff auf die gehaltenen Kryptowährungen erlauben. Niemand schöpfte Verdacht. Die App versprach, die verschiedenen Besitztümer auf verschiedenen Hardware Wallets und Konten übersichtlich in einer einzigen Anwendung darzustellen.

Keine Bitcoins in der Hardware-Wallet

Erst als die Betroffenen ihre Hardware Wallet später am Computer überprüften, fiel der Betrug auf: Die Kryptobestände waren verschwunden. Apple äußert sich auf Anfrage nicht weiter zu dem Vorfall. Trezor dagegen betont, dass die eigene App für mobile Endgeräte noch in der Entwicklungsphase steckt. Eigentlich hätte man das als Nutzer auch selbst recht einfach überprüfen können – aber wer denkt daran? Das Logo sah bekannt aus, der Name stimmte, die (gefakte) Sternebewertung war vielversprechend.

Auf die Trezor-Scam-App hereingefallen ist auch Phillipe Christodoulou, über dessen Fall die Washington Post berichtet hat. Der iPhone-Nutzer hatte 17,1 Bitcoin an die falsche Anwendung „überwiesen“. Die Bitcoins hatten zum Zeitpunkt dieser Transaktion einen Wert von 600.000 Dollar – und waren damit futsch. Nach aktuellem Bitcoin-Kurs wären die Coins rund eine Million Dollar wert.

Chainalysis deckt auf: Überweisungen sind miteinander verbunden

Mittlerweile hat sich auch die Analysefirma Chainalysis mit der Trezor-Scam-App beschäftigt. Transaktionen von Kryptowährungen sind grundsätzlich nachvollziehbar, weil alle Transaktionen und damit die jeweiligen Besitzverhältnisse in der Blockchain gespeichert werden. So auch in diesem Fall. Chainalysis fand heraus, dass die verschiedenen Bitcoin-Beträge, die über die betrügerische App entwendet wurden, auf miteinander verbundene Konten flossen.

Letzten Endes lassen sich derartige Betrugsversuche vermutlich nicht komplett verhindern – weder durch die Anbieter von App Marktplätzen wie Apple, noch durch die besondere Sorgfalt der Nutzer und Nutzerinnen. Apple haftet jedenfalls nicht für die verlorenen Geldbeträge. Trezor haftet ebenfalls nicht. Das Unternehmen wurde durch die unbefugte Verwendung von Logo und Farben ebenfalls geschädigt.

Die Nutzer sind derweil verständlicherweise ungehalten. In Googles Play Store tauchte die Trezor-Scam-App ebenfalls wiederholt auf. Insgesamt sollen mit den gefakten Trezor-Apps bei iOS und Android rund 2,3 Millionen Dollar ergaunert worden sein.

Krypto-Börsen und Bitcoin-Anbieter in der Übersicht