Осторожно, пользователи iPhone: Kaspersky выявил 26 поддельных приложений криптокошельков, которые могут опустошить ваши счета

Компания по кибербезопасности Kaspersky обнаружила 26 мошеннических приложений-кошельков для криптовалют в App Store Apple, созданных для кражи цифровых активов пользователей.

Команда Threat Research компании выяснила, что приложения имитируют популярные криптокошельки — MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie — копируя их названия и визуальный стиль, чтобы выглядеть легитимно. После запуска эти приложения перенаправляют пользователей на фишинговые страницы, имитирующие интерфейс App Store, и предлагают скачать второе приложение, которое на самом деле является троянским кошельком, способным опустошить криптовалютные средства.

Как работает мошенническая схема

Kaspersky сообщила, что кампания активна как минимум с осени 2025 года и с «умеренной уверенностью» связала её с угрозами, стоящими за SparkKitty — ранее выявленным вредоносным ПО для iOS. Официальные версии многих из этих кошельков недоступны в китайском App Store для iOS; большинство обнаруженных фишинговых приложений распространялись преимущественно среди пользователей в Китае, хотя сам вредоносный payload не содержит региональных ограничений. Это означает, что пользователи за пределами Китая также могут пострадать. Kaspersky подтвердила, что сообщила Apple обо всех выявленных приложениях.

Согласно результатам исследования, мошеннические приложения включают базовые, не связанные между собой функции — такие как игры, калькуляторы или менеджеры задач — чтобы создать видимость легитимности и пройти первичную проверку. После установки они проводят пользователей через процесс, который открывает поддельную веб-страницу App Store и предлагает загрузить то, что выглядит как нужное приложение-кошелёк.

Этот процесс установки работает аналогично SparkKitty, используя корпоративные инструменты разработчика Apple для распространения корпоративных приложений. Пользователям предлагается установить профиль разработчика на устройство, что позволяет устанавливать приложения за пределами App Store. Злоумышленники рассчитывают на то, что пользователи не обратят внимания на этот шаг, что открывает возможность установки вредоносного ПО.

После установки троянские приложения-кошельки разработаны так, чтобы имитировать поведение конкретного кошелька, под который маскируются. Они нацелены как на горячие, так и на холодные кошельки.

Эксперт Kaspersky по мобильным вредоносным программам Сергей Пузан заявил, что, хотя сами приложения могут не содержать вредоносного кода, они служат точками входа в более широкую цепочку атаки, которая в конечном итоге приводит к установке вредоносного ПО. Исследователь также предупредил,

Поддельное устройство Ledger

Последний отчёт вышел через несколько дней после того, как бразильский специалист по кибербезопасности разоблачил поддельное устройство Ledger Nano S Plus, проданное через онлайн-маркетплейс, как часть изощрённой фишинговой операции, направленной на кражу учётных данных криптокошелька. Устройство, которое продавалось и стоило как официальный продукт, поначалу выглядело подлинным, однако не прошло верификацию при подключении к Ledger Live.

Вскрыв устройство, исследователь обнаружил внутренние компоненты, не соответствующие оригинальному оборудованию: чип со стёртой маркировкой и дополнительные антенны WiFi и Bluetooth, отсутствующие в оригинальных кошельках Ledger. Дальнейший анализ прошивки показал, что PIN-коды и мнемонические слова хранятся в открытом виде, а также присутствуют ссылки на внешние серверы — это свидетельствует о том, что устройство было создано для перехвата и передачи конфиденциальных данных.

Исследователь признал, что данная атака не связана с какой-либо уязвимостью в системе безопасности Ledger, а использует поддельные устройства, вредоносные приложения и фишинговые методы для воздействия на пользователей.

Материал «Внимание, пользователи iPhone: Kaspersky обнаружила 26 фейковых приложений-криптокошельков, способных опустошить ваши счета» впервые опубликован на CryptoPotato.