Uwaga użytkownicy iPhone'a: Kaspersky ostrzega przed 26 fałszywymi aplikacjami do kryptowalutowych portfeli, które mogą opróżnić Twoje konto

Firma Kaspersky zajmująca się cyberbezpieczeństwem zidentyfikowała 26 fałszywych aplikacji portfeli kryptowalutowych w App Store firmy Apple, zaprojektowanych w celu kradzieży cyfrowych aktywów użytkowników.

Zespół ds. badań zagrożeń firmy odkrył, że aplikacje naśladują popularne portfele kryptowalutowe, takie jak MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken i Bitpie, kopiując ich nazwy i identyfikację wizualną, aby wyglądać na legalne. Po otwarciu aplikacje te przekierowują użytkowników na strony phishingowe przypominające interfejs App Store i zachęcają do pobrania drugiej aplikacji, która w rzeczywistości jest trojanizowanym portfelem mogącym opróżnić środki kryptowalutowe.

Jak działa oszustwo

Kaspersky poinformował, że kampania jest aktywna co najmniej od jesieni 2025 roku i z „umiarkowaną pewnością" powiązał ją z podmiotami zagrożeń stojącymi za SparkKitty, wcześniej zidentyfikowanym szczepem złośliwego oprogramowania na iOS. Oficjalne wersje wielu z tych aplikacji portfelowych nie są dostępne w chińskim App Store dla iOS; większość wykrytych aplikacji phishingowych była dystrybuowana specjalnie do użytkowników w Chinach, choć sam złośliwy ładunek nie zawiera ograniczeń regionalnych. Oznacza to w zasadzie, że użytkownicy spoza Chin również mogą być zagrożeni. Kaspersky potwierdził, że zgłosił wszystkie zidentyfikowane aplikacje firmie Apple.

Zgodnie z ustaleniami, fałszywe aplikacje zawierają podstawowe, niezwiązane funkcje, takie jak gry, kalkulatory lub menedżery zadań, aby stworzyć pozory legalności i przejść wstępną weryfikację. Po instalacji prowadzą użytkowników przez proces otwierający fałszywą stronę internetową App Store i zachęcający do pobrania tego, co wydaje się być zamierzoną aplikacją portfelową.

Ten proces instalacji działa podobnie do SparkKitty, wykorzystując narzędzia programistyczne dla przedsiębiorstw firmy Apple do dystrybucji aplikacji korporacyjnych. Użytkownicy są proszeni o zainstalowanie profilu deweloperskiego na swoim urządzeniu, co pozwala im instalować aplikacje spoza App Store. Atakujący polegają na tym, że użytkownicy przeoczają ten krok, umożliwiając instalację złośliwego oprogramowania.

Po zainstalowaniu trojanizowane aplikacje portfelowe są zaprojektowane tak, aby naśladować zachowanie konkretnego portfela, który podszywają. Atakują zarówno portfele gorące, jak i zimne.

Ekspert Kaspersky ds. złośliwego oprogramowania mobilnego, Sergey Puzan, stwierdził, że choć same aplikacje mogą nie zawierać szkodliwego kodu, służą jako punkty wejścia w szerszym łańcuchu ataku, który ostatecznie prowadzi do instalacji złośliwego oprogramowania. Badacz ostrzegł ponadto,

Podrobione urządzenie Ledger

Najnowszy raport pojawia się kilka dni po tym, jak brazylijski badacz cyberbezpieczeństwa ujawnił, że podrobione urządzenie Ledger Nano S Plus sprzedawane przez internetowy marketplace było częścią wyrafinowanej operacji phishingowej mającej na celu kradzież danych uwierzytelniających portfela kryptowalutowego. Urządzenie, które było sprzedawane i wyceniane jak oficjalny produkt, początkowo wyglądało na autentyczne, ale nie przeszło weryfikacji po podłączeniu do Ledger Live.

Po otwarciu urządzenia badacz znalazł wewnętrzne komponenty, które nie pasowały do legalnego sprzętu, w tym chip z usuniętymi oznaczeniami oraz dodatkowe anteny WiFi i Bluetooth nieobecne w autentycznych portfelach Ledger. Dalsze badanie oprogramowania układowego ujawniło, że zarówno kody PIN, jak i frazy seed były przechowywane w postaci zwykłego tekstu, wraz z odwołaniami do zewnętrznych serwerów, co wskazuje, że urządzenie zostało zaprojektowane do przechwytywania i przesyłania poufnych danych.

Badacz przyznał, że atak ten nie wiąże się z żadną wadą w zabezpieczeniach Ledger, lecz zamiast tego wykorzystuje fałszywe urządzenia, szkodliwe aplikacje i sztuczki phishingowe do atakowania użytkowników.

Wpis iPhone Users Beware: Kaspersky Flags 26 Fake Crypto Wallet Apps That Could Drain Your Funds pojawił się po raz pierwszy na CryptoPotato.