Пользователи iPhone, будьте осторожны: «Лаборатория Касперского» отмечает 26 поддельных приложений для криптокошельков, которые могут истощить ваши средства
Компания по кибербезопасности «Касперский» выявила в Apple App Store 26 мошеннических приложений для криптовалютных кошельков, предназначенных для кражи цифровых активов пользователей.
Команда компании по исследованию угроз обнаружила, что приложения имитируют популярные криптокошельки, такие как MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie, копируя их имена и визуальный брендинг, чтобы выглядеть законными. После открытия эти приложения перенаправляют пользователей на фишинговые страницы, напоминающие интерфейс App Store, и предлагают загрузить второе приложение, которое на самом деле представляет собой зараженный трояном кошелек, способный выкачивать криптовалютные средства.
Как работает мошенничество
Касперский заявил, что кампания активна, по крайней мере, с осени 2025 года, и с «умеренной уверенностью» связал ее с участниками угрозы, стоящей за SparkKitty, ранее выявленным штаммом вредоносного ПО для iOS. Официальные версии многих из этих приложений-кошельков недоступны в китайском магазине приложений iOS; большинство обнаруженных фишинговых приложений были распространены специально среди пользователей в Китае, хотя сама вредоносная нагрузка не имеет региональных ограничений. По сути, это означает, что могут пострадать и пользователи за пределами Китая. Касперский подтвердил, что сообщил обо всех идентифицированных приложениях в Apple.
Согласно выводам, мошеннические приложения включают в себя базовые, несвязанные между собой функции, такие как игры, калькуляторы или диспетчеры задач, чтобы создать видимость легитимности и пройти первоначальную проверку. После установки они проводят пользователей через процесс, который открывает поддельную веб-страницу App Store и предлагает им загрузить то, что, по всей видимости, является предполагаемым приложением-кошельком.
Этот процесс установки работает аналогично SparkKitty, используя инструменты корпоративного разработчика Apple для распространения корпоративных приложений. Пользователям предлагается установить на свое устройство профиль разработчика, который позволяет им устанавливать приложения из-за пределов App Store. Злоумышленники рассчитывают на то, что пользователи пропустят этот шаг, что позволит установить вредоносное программное обеспечение.
После установки приложения-кошельки, зараженные троянами, имитируют поведение конкретного кошелька, за который они выдают себя. Они нацелены как на горячие, так и на холодные кошельки.
Эксперт «Лаборатории Касперского» по мобильному вредоносному ПО Сергей Пузан заявил, что, хотя сами приложения могут и не содержать вредоносного кода, они служат точками входа в более широкую цепочку атак, которая в конечном итоге приводит к установке вредоносного ПО. Далее исследователь предупредил:
Вам также может понравиться:
Как музыкант потерял 5,92 BTC в приложении Fake Ledger
Обнаружен фальшивый кошелек Ledger со скрытым чипом, ворующим начальные фразы и PIN-коды
BlockDAG под огнем: следователь обвиняет в мошенничестве на 300 миллионов долларов
"Заплатив комиссию и создав учетную запись разработчика, злоумышленники могут атаковать любое устройство iOS, если пользователь поддастся тактике фишинга. Пользователи должны опасаться рисков, связанных с управлением своими криптокошельками, даже на устройствах, которые они считают безопасными, таких как iPhone. Мы ожидаем, что может быть больше троянизированных криптографических приложений, распространяемых с аналогичной тактикой".
Поддельное устройство бухгалтерской книги
Последний отчет появился через несколько дней после того, как поддельное устройство Ledger Nano S Plus, проданное через онлайн-рынок, было раскрыто в рамках сложной фишинговой операции, направленной на кражу учетных данных криптокошелька, проведенной бразильским исследователем кибербезопасности. Устройство, которое продавалось и оценивалось как официальный продукт, изначально выглядело подлинным, но не прошло проверку при подключении к Ledger Live.
Вскрыв устройство, исследователь обнаружил внутренние компоненты, которые не соответствовали законному оборудованию, в том числе чип со снятой маркировкой и дополнительные антенны Wi-Fi и Bluetooth, отсутствующие в подлинных кошельках Ledger. Дальнейшее изучение прошивки показало, что как PIN-коды, так и начальные фразы хранились в открытом виде вместе со ссылками на внешние серверы, что указывает на то, что устройство было разработано для сбора и передачи конфиденциальных данных.
Исследователь признал, что эта атака не содержит каких-либо недостатков в безопасности Ledger, а вместо этого использует поддельные устройства, вредоносные приложения и фишинговые уловки для атак на пользователей.