Kaspersky Semnalează 26 de Aplicații False de Portofele Crypto pe Apple App Store

Firma de securitate cibernetică Kaspersky a identificat 26 de aplicații frauduloase pentru portofel de criptomonede în App Store-ul Apple. Aceste aplicații sunt concepute pentru a fura activele digitale ale utilizatorilor. Echipa de Cercetare a Amenințărilor a companiei a descoperit că aplicațiile imită portofele crypto populare, precum MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken și Bitpie. Acestea copiază numele și identitatea vizuală pentru a părea legitime.

Odată deschise, aceste aplicații redirecționează utilizatorii către pagini de phishing. Aceste pagini seamănă cu interfața App Store și îi îndeamnă pe utilizatori să descarce o a doua aplicație. Cea de-a doua aplicație este de fapt un portofel troianizat care poate goli fondurile în criptomonede.

Cum Funcționează Escrocheria

Kaspersky a declarat că această campanie este activă cel puțin din toamna anului 2025. Cu un nivel moderat de încredere, aceștia au asociat-o cu actorii de amenințare din spatele SparkKitty, o tulpină de malware iOS identificată anterior. Versiunile oficiale ale multor aplicații de portofel nu sunt disponibile în App Store-ul iOS din China. Majoritatea aplicațiilor de phishing detectate au fost distribuite în mod specific utilizatorilor din China. Cu toate acestea, sarcina utilă malițioasă în sine nu include restricții regionale. Acest lucru înseamnă practic că utilizatorii din afara Chinei ar putea fi, de asemenea, afectați. Kaspersky a confirmat că a raportat toate aplicațiile identificate către Apple.

Conform constatărilor, aplicațiile frauduloase includ funcții de bază, fără legătură cu scopul declarat, precum jocuri, calculatoare sau managere de sarcini. Aceste funcții creează o aparență de legitimitate și ajută aplicațiile să treacă verificarea inițială. După instalare, ele ghidează utilizatorii printr-un proces care deschide o pagină web falsă a App Store. Apoi, îi încurajează pe utilizatori să descarce ceea ce pare a fi aplicația de portofel dorită.

Acest proces de instalare funcționează similar cu SparkKitty. Utilizează instrumentele pentru dezvoltatori enterprise ale Apple pentru distribuirea aplicațiilor corporative. Utilizatorii sunt îndemnați să instaleze un profil de dezvoltator pe dispozitivul lor. Acest lucru le permite să instaleze aplicații din afara App Store. Atacatorii se bazează pe faptul că utilizatorii trec cu vederea acest pas, ceea ce permite instalarea de software malițios.

Odată instalate, aplicațiile de portofel troianizate imită comportamentul portofelului specific pe care îl uzurpă. Acestea vizează atât portofele hot, cât și cold.

Expertul în malware mobil al Kaspersky, Sergey Puzan, a declarat că, deși aplicațiile în sine s-ar putea să nu conțină cod dăunător, ele servesc ca puncte de intrare într-un lanț de atac mai amplu. Acest lanț conduce în cele din urmă la instalarea de malware. Puzan a avertizat în continuare: „Prin plata unei taxe și configurarea unui cont de dezvoltator, atacatorii pot viza orice dispozitiv iOS dacă utilizatorul cedează tacticii de phishing. Utilizatorii ar trebui să fie conștienți de riscurile legate de gestionarea portofelelor lor crypto chiar și pe dispozitive pe care le consideră sigure, cum ar fi iPhone-urile. Ne așteptăm să existe mai multe aplicații crypto troianizate distribuite cu o tactică similară."

Dispozitiv Ledger Contrafăcut

Cel mai recent raport vine la câteva zile după ce a fost expus un dispozitiv Ledger Nano S Plus contrafăcut. Un cercetător brazilian în securitate cibernetică a descoperit dispozitivul vândut printr-un marketplace online ca parte a unei operațiuni sofisticate de phishing concepute pentru a fura acreditivele portofelului crypto. Dispozitivul a fost comercializat și prețuit ca un produs oficial. Inițial a părut autentic, dar a eșuat verificarea când a fost conectat la Ledger Live.

La deschiderea dispozitivului, cercetătorul a găsit componente interne care nu corespundeau hardware-ului legitim. Aceasta includea un cip cu marcajele sale îndepărtate și antene WiFi și Bluetooth suplimentare care nu se regăsesc în portofelele Ledger autentice. O examinare mai atentă a firmware-ului a relevat că atât codurile PIN, cât și frazele seed erau stocate în text simplu. Firmware-ul conținea, de asemenea, referințe la servere externe. Acest lucru a indicat că dispozitivul a fost conceput pentru a captura și transmite date sensibile.

Cercetătorul a recunoscut că acest atac nu implică nicio vulnerabilitate în securitatea Ledger. În schimb, utilizează dispozitive false, aplicații dăunătoare și trucuri de phishing pentru a viza utilizatorii.

Articolul Kaspersky Flags 26 Fake Crypto Wallet Apps on Apple App Store a apărut prima dată pe TheCryptoUpdates.