Обеспечение безопасности мобильных приложений, особенно в официальных магазинах, остается критически важной задачей для всей индустрии. Между тем, угрозы продолжают эволюционировать, адаптируясь к системам защиты. В марте 2026 года специалисты "Лаборатории Касперского" выявили новую волну атак на владельцев криптовалют, в рамках которой злоумышленники успешно разместили более двадцати фишинговых приложений в официальном магазине Apple App Store. Эти программы, маскирующиеся под популярные криптокошельки, были нацелены на кражу сид-фраз и приватных ключей, что ведет к полной потере средств. Инцидент демонстрирует, как региональные ограничения и социальная инженерия используются для обхода встроенных защитных механизмов платформы, подвергая риску даже осторожных пользователей.
Описание
Кампания, получившая название FakeWallet, в основном ориентирована на пользователей в Китае. Это связано с тем, что многие официальные приложения криптокошельков недоступны для загрузки в китайской версии App Store из-за местных регуляторных требований. Этим умело воспользовались мошенники, создавая поддельные копии таких кошельков, как MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Для обмана как пользователей, так и систем проверки Apple применялась тактика тайпсквоттинга - использования названий с опечатками (например, "Ledger Walet" вместо "Ledger Wallet"), а также точное копирование иконок оригинальных приложений.
Внутри такие приложения-"заглушки" часто не содержали явно вредоносного кода на первом этапе. Они могли имитировать простые утилиты вроде калькулятора или планировщика задач, чтобы пройти модерацию. Однако после запуска программа перенаправляла пользователя в браузер на фишинговую страницу, стилизованную под App Store. С этой страницы предлагалось скачать уже модифицированную, троянизированную версию кошелька, установка которой осуществлялась с использованием профилей provisioning. Эти профили, предназначенные для корпоративной рассылки приложений внутри компаний в обход официального магазина, стали излюбленным инструментом для распространения вредоносного ПО на iOS.
Технический анализ показал, что злоумышленники создали целый ряд специализированных вредоносных модулей, каждый для своего целевого кошелька. Основной метод внедрения - инъекция вредоносной библиотеки в исполняемый файл приложения. После загрузки такая библиотека подменяет критические методы в пользовательском интерфейсе, например, функцию "viewDidLoad" у контроллера экрана ввода сид-фразы. Когда пользователь вводит или просматривает мнемоническую фразу для восстановления доступа, троянская программа незаметно извлекает эти данные, шифрует их с помощью алгоритма RSA и отправляет на управляющий сервер злоумышленников.
Особый интерес представляет атака на приложение Ledger Live, которое является интерфейсом для аппаратных (холодных) кошельков, где приватные ключи хранятся на отдельном физическом устройстве. Поскольку напрямую извлечь ключи невозможно, авторы FakeWallet прибегли к изощренному фишингу внутри приложения. Модифицированная версия Ledger Live отображала пользователю уведомление о "проверке безопасности", которое открывало фишинговую веб-страницу, идеально повторяющую стиль приложения. Страница даже поддерживала автодополнение слов сид-фразы из стандартного словаря BIP-39, чтобы казаться легитимной. Введенные пользователем данные затем похищались.
Исследователи обнаружили, что часть троянизированных приложений также содержала модули другого известного вредоносного ПО для iOS - SparkKitty. Это, наряду с другими техническими и лингвистическими совпадениями (использование китайского языка в логах, схожие каналы распространения), указывает на возможную связь между авторами двух кампаний. Активность FakeWallet отслеживается с осени 2025 года, что говорит о длительном и целенаправленном характере операции.
Угроза со стороны FakeWallet является серьезной, несмотря на относительную простоту отдельных технических приемов. Для атаки на горячие кошельки (где ключи хранятся в самом приложении) не требуется дополнительного взаимодействия с пользователем - вредоносный код действует автоматически. В случае с холодными кошельками злоумышленники прикладывают значительные усилия для создания правдоподобного фишингового сценария. Сложности с анализом вредоносного ПО в экосистеме iOS дополнительно играют на руку атакующим.
На текущий момент все выявленные фишинговые приложения были удалены из App Store после обращения исследователей в Apple. Тем не менее, инцидент служит напоминанием о том, что наличие приложения в официальном магазине не является стопроцентной гарантией его безопасности. Пользователям, особенно в регионах с ограниченным доступом к официальному ПО, следует проявлять повышенную бдительность: проверять разработчика, читать отзывы и избегать установки приложений через перенаправления на сторонние сайты. Для бизнеса и разработчиков кошельков этот случай подчеркивает важность реализации дополнительных механизмов защиты на уровне приложения, таких как контроль целостности кода и обнаружение работы в небезопасной среде.
Индикаторы компрометации
URLs
- https://139.180.139.209/prod-api/system/confData/getUserConfByKey/
- https://6688cf.jhxrpbgq.com/6axqkwuq
- https://api.dc1637.xyz
- https://api.npoint.io/153b165a59f8f7d7b097
- https://appstoreios.com/DjZH?key=646556306F6Q465O313L737N3332939Y353I830F31
- https://crypto-stroe.cc/
- https://helllo2025.com/api/open/postByTokenpocket
- https://iosfc.com/ledger/ios/Rsakeycatch.php
- https://kkkhhhnnn.com/api/open/postByTokenpocket
- https://mgi1y.siyangoil.com/vmzLvi4Dh/1Dd0m4BmAuhVVCbzF
- https://mti4ywy4.lahuafa.com/UVB2U/mw2ZmvXKUEbzI0n
- https://mtjln.siyangoil.com/08dT284P/1ZMz5Xmb0EoQZVvS5
- https://mziyytm5ytk.ahroar.com/kAN2pIEaariFb8Yc
- https://ngy2yjq0otlj.ahroar.com/17pIWJfr9DBiXYrSb
- https://ngy2yjq0otlj.ahroar.com/EpCXMKDMx1roYGJ
- https://nmu8n.com/tpocket/ios/Rsakeyword.php
- https://ntm0mdkzymy3n.oukwww.com/7nhn7jvv5YieDe7P?0e7b9c78e=686989d97cf0d70346cbde2031207cbf
- https://ntm0mdkzymy3n.oukwww.com/jFms03nKTf7RIZN8?61f68b07f8=0565364633b5acdd24a498a6a9ab4eca
- https://nziwytu5n.lahuafa.com/10RsW/mw2ZmvXKUEbzI0n
- https://odm0.siyangoil.com/TYTmtV8t/JG6T5nvM1AYqAcN
- https://sxsfcc.com/api/open/postByTokenpocket
- https://www.gxzhrc.cn/download/
- https://xz.apps-store.im/CqDq?key=646R563V6F6Y465K313J737G343C3352383R336O35
- https://xz.apps-store.im/DjZH?key=646B563L6F6N4657313B737U3436335E3833331737
- https://xz.apps-store.im/s/dDan?key=646756376F6A465D313L737J333993473233038L39&c=
- https://xz.apps-store.im/s/iuXt?key=646Y563Y6F6H465J313X737U333S9342323N030R34&c=
- https://yjzhengruol.com/s/3f605f
- https://zdrhnmjjndu.ulbcl.com/7uchSEp6DIEAqux?a3f65e=417ae7f384c49de8c672aec86d5a2860
- https://zdrhnmjjndu.ulbcl.com/tWe0ASmXJbDz3KGh?4a1bbe6d=31d25ddf2697b9e13ee883fff328b22f
- https://zmx6f.com/btp/ios/receiRsakeyword.php
MD5
- 114721fbc23ff9d188535bd736a0d30e
- 19733e0dfa804e3676f97eff90f2e467
- 4126348d783393dd85ede3468e48405d
- 5bdae6cb778d002c806bb7ed130985f3
- 79fe383f0963ae741193989c12aefacc
- 7b4c61ff418f6fe80cf8adb474278311
- 7e678ca2f01dc853e85d13924e6c8a45
- 84c81a5e49291fe60eb9f5c1e2ac184b
- 8cbd34393d1d54a90be3c2b53d8fc17a
- 8d45a67b648d2cb46292ff5041a5dd44
- 8f51f82393c6467f9392fb9eb46f9301
- b639f7f81a8faca9c62fd227fef5e28c
- bafba3d044a4f674fc9edc67ef6b8a6b
- be9e0d516f59ae57f5553bcc3cf296d1
- d138a63436b4dd8c5a55d184e025ef99
- d48b580718b0e1617afc1dec028e9059
- fd0dc5d4bba740c7b4cc78c4b19a5840
