Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet и Coinbase. Об этом говорится в поступившем в «Газету.Ru» пресс-релизе.
По данным исследования, обнаружено не менее 26 приложений, имитирующих популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie, а также дополняются вспомогательными функциями от простых игр до калькуляторов для повышения доверия пользователей.
После установки такие приложения перенаправляют пользователя на поддельные страницы, имитирующие официальный магазин приложений, где предлагается повторная загрузка якобы необходимого сервиса. В действительности пользователи загружают троянизированные версии криптокошельков.
Технически атака опирается на легитимный механизм распространения корпоративных приложений iOS. Пользователю предлагается установить профиль разработчика, что позволяет злоумышленникам обходить стандартные ограничения платформы и загружать вредоносное ПО на устройство.
Функциональность трояна адаптируется под тип используемого кошелька. В случае «горячих» кошельков вредоносное ПО перехватывает сид-фразы при создании или восстановлении доступа, получая полный контроль над активами. Для владельцев аппаратных решений, таких как продукты Ledger, применяются фишинговые сценарии, имитирующие процедуры «проверки безопасности» с целью выманивания конфиденциальных данных.
Анализ метаданных указывает на активность кампании как минимум с осени 2025 года. Эксперты связывают ее с ранее зафиксированными атаками группы SparkKitty. При этом большинство выявленных приложений ориентировано на китайский сегмент App Store, где отсутствуют официальные версии ряда криптокошельков, однако сама вредоносная инфраструктура не имеет географических ограничений. Apple была уведомлена о выявленных приложениях.
«Обнаруженные нами фальшивые приложения в App Store сами по себе не являются вредоносными — однако они служат важным звеном в формировании доверия пользователя и доставке троянца на его устройство. Благодаря механизму, предназначенному для установки корпоративных приложений, всего лишь оплатив взнос, злоумышленники получают возможность распространять свое ПО на любое iOS-устройство, если конечный пользователь попадется на фишинг. Всегда нужно проверять, что скачанное приложение выпущено официальным разработчиком, и не устанавливать никакие дополнительные приложения, конфигурационные файлы или профили разработчиков, особенно с незнакомых сайтов», — заявил эксперт по кибербезопасности в «Лаборатории Касперского» Сергей Пузан.