Увага для користувачів iPhone: Kaspersky виявив 26 підроблених застосунків криптовалютних гаманців, які можуть спустошити ваші кошти

Компанія з кібербезпеки Kaspersky виявила 26 шахрайських застосунків криптовалютних гаманців в App Store від Apple, які призначені для крадіжки цифрових активів користувачів.

Команда дослідження загроз компанії виявила, що застосунки імітують популярні криптовалютні гаманці, такі як MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken та Bitpie, копіюючи їхні назви та візуальний брендинг, щоб виглядати легітимно. Після відкриття ці застосунки перенаправляють користувачів на фішингові сторінки, що нагадують інтерфейс App Store, і спонукають їх завантажити другий застосунок, який насправді є трояном-гаманцем, здатним спустошити кошти в криптовалюті.

Як працює шахрайство

Kaspersky повідомила, що кампанія активна щонайменше з осені 2025 року і з «помірною впевненістю» пов'язала її з загрозливими акторами, що стоять за SparkKitty, — раніше ідентифікованим штамом шкідливого програмного забезпечення для iOS. Офіційні версії багатьох із цих застосунків-гаманців недоступні в китайському App Store для iOS; більшість виявлених фішингових застосунків розповсюджувалася виключно серед користувачів у Китаї, хоча сам шкідливий пейлоад не містить регіональних обмежень. Це фактично означає, що користувачі за межами Китаю також можуть постраждати. Kaspersky підтвердила, що повідомила Apple про всі виявлені застосунки.

Згідно з результатами дослідження, шахрайські застосунки містять базові, непов'язані функції, такі як ігри, калькулятори або менеджери завдань, щоб створити видимість легітимності та пройти початкову перевірку. Після встановлення вони проводять користувачів через процес, який відкриває підроблену веб-сторінку App Store та спонукає їх завантажити те, що виглядає як потрібний застосунок-гаманець.

Цей процес встановлення працює аналогічно до SparkKitty, використовуючи інструменти корпоративного розробника Apple для розповсюдження застосунків у компаніях. Користувачів спонукають встановити профіль розробника на своєму пристрої, що дозволяє їм встановлювати застосунки поза межами App Store. Зловмисники розраховують на те, що користувачі проігнорують цей крок, що уможливлює встановлення шкідливого програмного забезпечення.

Після встановлення трояни-гаманці розроблені для імітації поведінки конкретного гаманця, який вони видають за справжній. Вони атакують як гарячі, так і холодні гаманці.

Експерт Kaspersky з мобільного шкідливого програмного забезпечення Сергій Пузан заявив, що хоча самі застосунки можуть не містити шкідливого коду, вони слугують точками входу в ширший ланцюг атак, який зрештою призводить до встановлення шкідливого програмного забезпечення. Дослідник також попередив,

Підроблений пристрій Ledger

Останній звіт з'явився через кілька днів після того, як бразильський дослідник у сфері кібербезпеки викрив підроблений пристрій Ledger Nano S Plus, проданий через онлайн-маркетплейс, як частину складної фішингової операції, спрямованої на крадіжку облікових даних криптовалютного гаманця. Пристрій, який продавався і коштував як офіційний продукт, спочатку виглядав справжнім, але не пройшов верифікацію при підключенні до Ledger Live.

Відкривши пристрій, дослідник виявив внутрішні компоненти, які не відповідали оригінальному обладнанню, зокрема чіп із видаленими маркуваннями та додаткові антени WiFi і Bluetooth, відсутні в справжніх гаманцях Ledger. Подальше вивчення прошивки показало, що як PIN-коди, так і seed фрази зберігалися у відкритому вигляді, а також були виявлені посилання на зовнішні сервери, що свідчить про те, що пристрій був розроблений для захоплення та передачі конфіденційних даних.

Дослідник визнав, що ця атака не передбачає жодного недоліку в системі безпеки Ledger, а натомість використовує підроблені пристрої, шкідливі застосунки та фішингові прийоми для атаки на користувачів.

Публікація «Увага, користувачі iPhone: Kaspersky виявила 26 підроблених застосунків криптовалютних гаманців, які можуть спустошити ваші кошти» вперше з'явилася на CryptoPotato.