Kaspersky виявив 26 підроблених застосунків криптовалютних гаманців в Apple App Store

Компанія з кібербезпеки Kaspersky виявила 26 шахрайських застосунків криптовалютних гаманців в App Store від Apple. Ці застосунки призначені для крадіжки цифрових активів користувачів. Команда Threat Research компанії виявила, що застосунки імітують популярні криптовалютні гаманці, зокрема MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken та Bitpie. Вони копіюють назви та візуальний брендинг, щоб виглядати легітимними.

Після відкриття ці застосунки перенаправляють користувачів на фішингові сторінки. Ці сторінки нагадують інтерфейс App Store і пропонують користувачам завантажити другий застосунок. Цей другий застосунок насправді є троянізованим гаманцем, який може спустошити кошти криптовалюти.

Як працює шахрайство

Kaspersky повідомила, що кампанія активна щонайменше з осені 2025 року. З помірною впевненістю компанія пов'язала її із зловмисниками, що стоять за SparkKitty — раніше виявленим шкідливим програмним забезпеченням для iOS. Офіційні версії багатьох із цих застосунків-гаманців недоступні в китайському iOS App Store. Більшість виявлених фішингових застосунків поширювалися спеціально серед користувачів у Китаї. Однак сам шкідливий пейлоад не містить регіональних обмежень. Це фактично означає, що постраждати можуть і користувачі за межами Китаю. Kaspersky підтвердила, що повідомила Apple про всі виявлені застосунки.

Згідно з результатами досліджень, шахрайські застосунки включають базові, непов'язані функції, як-от ігри, калькулятори або менеджери завдань. Ці функції створюють видимість легітимності та допомагають застосункам пройти початкову перевірку. Після встановлення вони проводять користувачів через процес, який відкриває підроблену веб-сторінку App Store. Потім вони спонукають користувачів завантажити те, що виглядає як потрібний застосунок-гаманець.

Цей процес встановлення працює аналогічно до SparkKitty. Він використовує корпоративні інструменти розробника Apple для розповсюдження корпоративних застосунків. Користувачам пропонується встановити профіль розробника на своєму пристрої. Це дозволяє їм встановлювати застосунки поза межами App Store. Зловмисники розраховують на те, що користувачі проігнорують цей крок, що уможливлює встановлення шкідливого програмного забезпечення.

Після встановлення троянізовані застосунки-гаманці імітують поведінку конкретного гаманця, який вони видають себе за. Вони націлені як на гарячі, так і на холодні гаманці.

Експерт з мобільного шкідливого програмного забезпечення Kaspersky Сергій Пузан заявив, що хоча самі застосунки можуть не містити шкідливого коду, вони слугують точками входу в ширший ланцюг атак. Цей ланцюг зрештою призводить до встановлення шкідливого програмного забезпечення. Пузан також застеріг: «Сплативши комісію та створивши акаунт розробника, зловмисники можуть атакувати будь-який пристрій iOS, якщо користувач піддасться фішинговій тактиці. Користувачі повинні остерігатися ризиків, пов'язаних з управлінням своїми криптовалютними гаманцями навіть на пристроях, які вони вважають безпечними, наприклад на iPhone. Ми очікуємо, що може з'явитися більше троянізованих криптовалютних застосунків, поширених із використанням подібної тактики».

Підроблений пристрій Ledger

Останній звіт з'явився через кілька днів після того, як був викритий підроблений пристрій Ledger Nano S Plus. Бразильський дослідник із кібербезпеки виявив пристрій, що продавався на онлайн-маркетплейсі в рамках витонченої фішингової операції, спрямованої на крадіжку облікових даних криптовалютного гаманця. Пристрій продавався і оцінювався як офіційний продукт. Спочатку він виглядав справжнім, але не пройшов перевірку під час підключення до Ledger Live.

Відкривши пристрій, дослідник виявив внутрішні компоненти, які не відповідали легітимному обладнанню. Серед них — чіп із видаленим маркуванням та додаткові антени WiFi і Bluetooth, відсутні в справжніх гаманцях Ledger. Подальше вивчення прошивки показало, що як PIN-коди, так і seed фрази зберігалися у відкритому вигляді. Прошивка також містила посилання на зовнішні сервери. Це свідчило про те, що пристрій був розроблений для перехоплення та передачі конфіденційних даних.

Дослідник визнав, що ця атака не передбачає жодних недоліків у безпеці Ledger. Натомість вона використовує підроблені пристрої, шкідливі застосунки та фішингові прийоми для атаки на користувачів.

Публікація Kaspersky Flags 26 Fake Crypto Wallet Apps on Apple App Store вперше з'явилася на TheCryptoUpdates.