Kaspersky oznacza 26 fałszywych aplikacji portfela kryptowalut w Apple App Store

Firma Kaspersky zajmująca się cyberbezpieczeństwem zidentyfikowała 26 fałszywych aplikacji do portfeli kryptowalutowych w App Store firmy Apple. Aplikacje te zostały zaprojektowane w celu kradzieży cyfrowych zasobów użytkowników. Zespół ds. badań zagrożeń firmy odkrył, że aplikacje imitują popularne portfele kryptowalutowe, takie jak MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken i Bitpie. Kopiują nazwy i identyfikację wizualną, aby sprawiać wrażenie legalnych.

Po otwarciu aplikacje te przekierowują użytkowników na strony phishingowe. Strony te przypominają interfejs App Store i zachęcają użytkowników do pobrania drugiej aplikacji. Ta druga aplikacja jest w rzeczywistości portfelem z trojanem, który może opróżnić środki kryptowalutowe.

Jak działa oszustwo

Kaspersky poinformował, że kampania jest aktywna co najmniej od jesieni 2025 roku. Z umiarkowaną pewnością powiązano ją z ugrupowaniami zagrożeń stojącymi za SparkKitty, wcześniej zidentyfikowanym wariantem złośliwego oprogramowania dla systemu iOS. Oficjalne wersje wielu z tych aplikacji portfelowych nie są dostępne w chińskim App Store dla systemu iOS. Większość wykrytych aplikacji phishingowych była dystrybuowana specjalnie do użytkowników w Chinach. Jednak złośliwy ładunek sam w sobie nie zawiera ograniczeń regionalnych. Oznacza to w zasadzie, że użytkownicy spoza Chin również mogą być dotknięci tym problemem. Kaspersky potwierdził, że zgłosił wszystkie zidentyfikowane aplikacje do Apple.

Zgodnie z ustaleniami, fałszywe aplikacje zawierają podstawowe, niepowiązane funkcje, takie jak gry, kalkulatory lub menedżery zadań. Funkcje te stwarzają pozory legalności i pomagają aplikacjom przejść wstępną weryfikację. Po instalacji prowadzą użytkowników przez proces otwierający fałszywą stronę internetową App Store. Następnie zachęcają użytkowników do pobrania tego, co wydaje się być zamierzoną aplikacją portfelową.

Ten proces instalacji działa podobnie do SparkKitty. Wykorzystuje narzędzia programistyczne dla przedsiębiorstw firmy Apple do dystrybucji aplikacji korporacyjnych. Użytkownicy są proszeni o zainstalowanie profilu programisty na swoim urządzeniu. Umożliwia im to instalowanie aplikacji spoza App Store. Atakujący polegają na tym, że użytkownicy pomijają ten krok, co umożliwia instalację złośliwego oprogramowania.

Po zainstalowaniu aplikacje portfelowe z trojanem naśladują zachowanie konkretnego portfela, który podszywają się. Atakują zarówno portfele gorące, jak i zimne.

Ekspert Kaspersky ds. mobilnego złośliwego oprogramowania, Siergiej Puzan, stwierdził, że chociaż same aplikacje mogą nie zawierać szkodliwego kodu, służą jako punkty wejścia w szerszym łańcuchu ataku. Łańcuch ten ostatecznie prowadzi do instalacji złośliwego oprogramowania. Puzan ostrzegł dalej: „Płacąc opłatę i zakładając konto programisty, atakujący mogą atakować dowolne urządzenie z systemem iOS, jeśli użytkownik ulegnie taktyce phishingowej. Użytkownicy powinni być świadomi ryzyka związanego z zarządzaniem portfelami kryptowalutowymi nawet na urządzeniach, które uważają za bezpieczne, takich jak iPhone'y. Spodziewamy się, że może pojawić się więcej aplikacji kryptowalutowych z trojanem dystrybuowanych przy użyciu podobnej taktyki."

Podrobione urządzenie Ledger

Najnowszy raport pojawia się kilka dni po ujawnieniu podrobionego urządzenia Ledger Nano S Plus. Brazylijski badacz cyberbezpieczeństwa znalazł urządzenie sprzedawane za pośrednictwem internetowego rynku jako część wyrafinowanej operacji phishingowej mającej na celu kradzież danych uwierzytelniających portfela kryptowalutowego. Urządzenie było sprzedawane i wyceniane jak oficjalny produkt. Początkowo wyglądało na autentyczne, ale nie przeszło weryfikacji po podłączeniu do Ledger Live.

Po otwarciu urządzenia badacz znalazł wewnętrzne komponenty, które nie pasowały do legalnego sprzętu. Obejmowały one chip z usuniętymi oznaczeniami oraz dodatkowe anteny WiFi i Bluetooth nieobecne w autentycznych portfelach Ledger. Dalsze badanie oprogramowania układowego ujawniło, że zarówno kody PIN, jak i frazy seed były przechowywane w postaci zwykłego tekstu. Oprogramowanie układowe zawierało również odniesienia do zewnętrznych serwerów. Wskazywało to, że urządzenie zostało zaprojektowane do przechwytywania i przesyłania poufnych danych.

Badacz przyznał, że atak ten nie wiąże się z żadną wadą w zabezpieczeniach Ledgera. Zamiast tego wykorzystuje fałszywe urządzenia, szkodliwe aplikacje i sztuczki phishingowe, aby atakować użytkowników.

Wpis Kaspersky Flags 26 Fake Crypto Wallet Apps on Apple App Store pojawił się po raz pierwszy na TheCryptoUpdates.