هشدار به کاربران آیفون: کسپرسکی ۲۶ اپلیکیشن جعلی کیف پول ارز دیجیتال را شناسایی کرد که می‌توانند موجودی شما را خالی کنند

شرکت امنیت سایبری Kaspersky 26 اپلیکیشن جعلی کیف پول ارز دیجیتال را در App Store اپل شناسایی کرده است که برای سرقت دارایی‌های دیجیتال کاربران طراحی شده‌اند.

تیم تحقیقات تهدیدات این شرکت دریافت که این اپلیکیشن‌ها با کپی کردن نام و برندینگ بصری کیف پول‌های محبوب کریپتو مانند MetaMask، Ledger، Trust Wallet، Coinbase، TokenPocket، imToken و Bitpie، خود را مشروع جلوه می‌دهند. پس از باز شدن، این اپلیکیشن‌ها کاربران را به صفحات فیشینگ مشابه رابط App Store هدایت می‌کنند و آن‌ها را تشویق می‌کنند تا یک اپلیکیشن دوم دانلود کنند که در واقع یک کیف پول تروجانیزه‌شده است و می‌تواند وجوه ارز دیجیتال را تخلیه کند.

نحوه عملکرد کلاهبرداری

Kaspersky اعلام کرد که این کمپین حداقل از پاییز ۱۴۰۴ فعال بوده و با "اطمینان متوسط" آن را به عوامل تهدیدی مرتبط دانسته که پشت SparkKitty، یک نوع بدافزار iOS که قبلاً شناسایی شده بود، قرار دارند. نسخه‌های رسمی بسیاری از این اپلیکیشن‌های کیف پول در App Store iOS چینی در دسترس نیستند؛ بیشتر اپلیکیشن‌های فیشینگ شناسایی‌شده به‌طور خاص برای کاربران چین توزیع شده‌اند، اگرچه بار مخرب خود شامل محدودیت‌های منطقه‌ای نمی‌شود. این به‌معنای آن است که کاربران خارج از چین نیز می‌توانند تحت تأثیر قرار گیرند. Kaspersky تأیید کرد که تمامی اپلیکیشن‌های شناسایی‌شده را به اپل گزارش داده است.

بر اساس یافته‌ها، اپلیکیشن‌های جعلی شامل ویژگی‌های اولیه و نامرتبطی مانند بازی‌ها، ماشین‌حساب‌ها یا مدیران وظایف هستند تا ظاهری مشروع ایجاد کنند و بررسی اولیه را پشت سر بگذارند. پس از نصب، آن‌ها کاربران را از طریق فرآیندی راهنمایی می‌کنند که یک صفحه وب جعلی App Store را باز می‌کند و آن‌ها را تشویق می‌کند تا آنچه به نظر می‌رسد اپلیکیشن کیف پول مورد نظر است را دانلود کنند.

این فرآیند نصب مشابه SparkKitty عمل می‌کند و از ابزارهای توسعه‌دهنده سازمانی اپل برای توزیع اپلیکیشن‌های شرکتی استفاده می‌کند. از کاربران خواسته می‌شود یک پروفایل توسعه‌دهنده روی دستگاه خود نصب کنند که به آن‌ها امکان می‌دهد اپلیکیشن‌هایی از خارج از App Store نصب کنند. مهاجمان به نادیده گرفتن این مرحله توسط کاربران تکیه می‌کنند تا نصب نرم‌افزار مخرب را ممکن سازند.

پس از نصب، اپلیکیشن‌های کیف پول تروجانیزه‌شده برای تقلید از رفتار کیف پول خاصی که جعل هویت می‌کنند طراحی شده‌اند. آن‌ها هم کیف پول‌های گرم و هم کیف پول‌های سرد را هدف قرار می‌دهند.

Sergey Puzan، کارشناس بدافزار موبایل Kaspersky، اعلام کرد که در حالی که خود اپلیکیشن‌ها ممکن است حاوی کد مضر نباشند، به عنوان نقاط ورود در یک زنجیره حمله گسترده‌تر عمل می‌کنند که در نهایت به نصب بدافزار منجر می‌شود. این محقق همچنین هشدار داد،

دستگاه جعلی Ledger

آخرین گزارش چند روز پس از آن منتشر شد که یک دستگاه جعلی Ledger Nano S Plus که از طریق یک بازار آنلاین فروخته شده بود، توسط یک محقق امنیت سایبری برزیلی به عنوان بخشی از یک عملیات فیشینگ پیچیده طراحی‌شده برای سرقت اطلاعات کیف پول کریپتو افشا شد. این دستگاه که مانند یک محصول رسمی بازاریابی و قیمت‌گذاری شده بود، در ابتدا واقعی به نظر می‌رسید اما هنگام اتصال به Ledger Live در تأیید هویت ناکام ماند.

با باز کردن دستگاه، محقق اجزای داخلی‌ای یافت که با سخت‌افزار واقعی مطابقت نداشت، از جمله یک تراشه با علائم حذف‌شده و آنتن‌های اضافی WiFi و Bluetooth که در کیف پول‌های واقعی Ledger وجود ندارند. بررسی بیشتر فریمور نشان داد که هم کدهای PIN و هم عبارات بازیابی به صورت متن ساده ذخیره شده‌اند، همراه با ارجاعاتی به سرورهای خارجی، که نشان می‌دهد دستگاه برای ضبط و انتقال داده‌های حساس طراحی شده بود.

محقق تأیید کرد که این حمله شامل هیچ‌گونه نقصی در امنیت Ledger نیست، بلکه از دستگاه‌های جعلی، اپلیکیشن‌های مضر و ترفندهای فیشینگ برای هدف قرار دادن کاربران استفاده می‌کند.

این مطلب با عنوان هشدار به کاربران iPhone: Kaspersky 26 اپلیکیشن جعلی کیف پول کریپتو را که می‌توانند وجوه شما را تخلیه کنند شناسایی کرد، برای اولین بار در CryptoPotato منتشر شد.