Троянец для кражи криптовалюты распространяется через поддельные кошельки в App Store
«Лаборатория Касперского» выявила в App Store 26 поддельных приложений, имитирующих популярные криптокошельки — MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie). Как SecPost в компании, злоумышленники копировали оригинальные иконки и названия, а также добавляли функции-заглушки — игры, калькулятор, менеджеры задач — чтобы приложения выглядели легитимно.
После установки и запуска такое приложение открывает в браузере фишинговую страницу, имитирующую App Store, где пользователю предлагают повторно скачать «нужное» приложение для управления криптовалютой. Через эти страницы распространяются троянизированные версии криптокошельков. Механизм установки, как сообщили эксперты, аналогичен кампании SparkKitty: злоумышленники используют инструменты для распространения корпоративных приложений и побуждают пользователя установить профиль разработчика.
Вредоносная нагрузка адаптируется под конкретные типы кошельков. Для горячих кошельков —приложение хранит приватные ключи на том же устройстве — троянец отслеживает экран создания или восстановления кошелька и перехватывает сид-фразу. Для холодных кошельков (аппаратное устройство, ключи офлайн) злоумышленники прибегают к фишингу, требуя «пройти проверку безопасности» и ввести сид-фразу, хотя официальное приложение никогда её не запрашивает.
Почти все обнаруженные фишинговые приложения были доступны только пользователям китайского сегмента App Store, где отсутствуют официальные iOS-приложения этих криптокошельков. При этом, как отмечается в сообщении, сами вредоносные модули не имеют региональных ограничений, поэтому жертвами потенциально могут стать пользователи и в других странах.
Компания уведомила Apple обо всех выявленных вредоносных приложениях. Решения «Лаборатории Касперского» детектируют троянца вердиктами: HEUR:Trojan-PSW.IphoneOS.FakeWallet.* и HEUR:Trojan.IphoneOS.FakeWallet.*.
Согласно метаданным из обнаруженных образцов, кампания активна как минимум с осени 2025 года. Предположительно, за ней стоят злоумышленники, ответственные за атаки SparkKitty.
Читайте также
