Кампания активна как минимум с осени 2025 года
Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки. Злоумышленники используют их как приманку: если скачать такую программу, она перенаправит пользователя на фишинговую страницу, где ему предложат повторно скачать «нужное» приложение. На самом деле так атакующие распространяют троянизированные версии криптокошельков. Согласно метаданным из обнаруженных образцов, кампания активна как минимум с осени 2025 года. Предположительно, за ней стоят злоумышленники, ответственные за атаки SparkKitty. Обо всех выявленных вредоносных приложениях «Лаборатория Касперского» уведомила Apple.
Как троянец попадает на устройство. Всего эксперты обнаружили 26 фальшивых приложений, имитирующих популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Чтобы такие приложения выглядели легитимно и не вызывали подозрений, злоумышленники копировали оригинальные визуальные элементы — иконки и названия, а также добавляли в них так называемые функции-заглушки: игры, калькулятор, менеджеры задач.
После установки и запуска приложение открывает в браузере пользователя фишинговую страницу, имитирующую App Store, где ему предлагается повторно скачать «нужное» приложение для управления криптовалютой. На самом деле через такие страницы распространяются троянизированные версии криптокошельков.
Механизм установки вредоносного ПО аналогичен ранее описанной кампании SparkKitty: злоумышленники используют инструменты разработчика для распространения корпоративных приложений. В расчёте на доверчивость пользователя они побуждают его установить на устройство профиль разработчика, что в дальнейшем позволяет загрузить вредоносное приложение.
Как происходит кража средств. Злоумышленники адаптируют вредоносную нагрузку под конкретные приложения криптокошельков, а также применяют различные методы кражи в зависимости от типа кошелька — горячего или холодного. Горячий кошелёк — это приложение, которое хранит приватные ключи на том же устройстве, на котором оно установлено, и имеет доступ к интернету. Холодный кошелёк — отдельное аппаратное устройство, которое хранит приватные ключи полностью офлайн.
В случае с горячими кошельками зловред отслеживает экран создания или восстановления кошелька и перехватывает сид-фразу. Если пользователь вводит её, злоумышленники получают полный доступ к средствам.
Выманить данные у владельцев холодных криптокошельков сложнее, поэтому злоумышленники полагаются на более изощрённые методы. Например, сервис Ledger предполагает использование мобильного приложения в связке с аппаратным устройством, которое подписывает транзакции. Официальное приложение никогда не запрашивает сид-фразу — её необходимо вводить на самом устройстве-кошельке. Чтобы получить эту информацию, злоумышленники прибегают к фишингу — требуют от пользователя «пройти проверку безопасности» и для этого ввести сид-фразу.
На кого направлена кампания. Почти все обнаруженные фишинговые приложения были доступны только пользователям китайского сегмента App Store, где отсутствуют официальные iOS-приложения этих криптокошельков. Это указывает на то, что кампания в первую очередь нацелена на пользователей из Китая. При этом сами вредоносные модули не имеют региональных ограничений, поэтому потенциально жертвами могут стать пользователи и в других странах.
«Обнаруженные нами фальшивые приложения сами по себе не являются вредоносными — однако они служат важным звеном в формировании доверия пользователя и доставке троянца на его устройство. Механизм, предназначенный для установки корпоративных приложений, позволяет злоумышленникам распространять своё ПО на любое iOS-устройство — если конечный пользователь попадется на фишинг. Всегда нужно проверять, что скачанное приложение выпущено официальным разработчиком, и не устанавливать никакие дополнительные приложения, конфигурационные файлы или профили разработчиков, особенно с незнакомых сайтов. Мы предполагаем, что в будущем могут появиться и другие приложения для кражи криптовалюты с использованием похожей схемы», — комментирует Сергей Пузан, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют троянец следующими вердиктами: HEUR:Trojan-PSW.IphoneOS.FakeWallet.*, HEUR:Trojan.IphoneOS.FakeWallet.*.
Полную версию отчёта об этой угрозе можно прочитать по ссылке https://securelist.ru/fakewallet-cryptostealer-ios-app-store/115241/.
Чтобы снизить риски, «Лаборатория Касперского» рекомендует пользователям:
- установить на смартфон надёжное защитное решение*;
- не устанавливать профили разработчиков, если только они не были предоставлены вашим работодателем;
- скачивать приложения из официальных источников: благодаря модерации риск столкнуться с вредоносной программой в таких магазинах ниже. При этом в официальных сторах также важно быть внимательными: не загружать из них подозрительные приложения, обращать внимание на рейтинг программ, отзывы, разработчика;
- перед установкой приложения, даже из официального магазина, заходить на официальный сайт разработчика и сравнивать ссылки на приложения, смотреть, какие ещё приложения от этого издателя есть в App Store.
* В силу архитектурных особенностей операционной системы от Apple решение Kaspersky для iOS показывает пользователю предупреждение, если обнаруживает попытку передачи данных на командный сервер злоумышленников, и блокирует передачу данных атакующим.
