Троянец для кражи криптовалюты распространяется через фишинговые приложения в App Store

Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки.

Злоумышленники используют их как приманку: если скачать такую программу, она перенаправит пользователя на фишинговую страницу, где ему предложат повторно скачать «нужное» приложение. На самом деле так атакующие распространяют троянизированные версии криптокошельков.

Согласно метаданным из обнаруженных образцов, кампания активна как минимум с осени 2025 года. Предположительно, за ней стоят злоумышленники, ответственные за атаки SparkKitty. Обо всех выявленных вредоносных приложениях «Лаборатория Касперского» уведомила Apple.

Как троянец попадает на устройство. Всего эксперты обнаружили 26 фальшивых приложений, имитирующих популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Чтобы такие приложения выглядели легитимно и не вызывали подозрений, злоумышленники копировали оригинальные визуальные элементы — иконки и названия, а также добавили в них так называемые функции-заглушки: игры, калькулятор, менеджеры задач.

После установки и запуска приложение открывает в браузере пользователя фишинговую страницу, имитирующую App Store, где ему предлагается повторно скачать «нужное» приложение для управления криптовалютой. На самом деле через такие страницы распространяются троянизированные версии криптокошельков.

Механизм установки вредоносного ПО аналогичен ранее описанной кампании SparkKitty: злоумышленники используют инструменты разработчика для распространения корпоративных приложений. В расчете на доверчивость пользователя они побуждают его установить на устройство профиль разработчика, что в дальнейшем позволяет загрузить вредоносное приложение.

Как происходит кража средств. Злоумышленники адаптируют вредоносную нагрузку под конкретные приложения криптокошельков, а также применяют различные методы кражи в зависимости от типа кошелька — горячего или холодного.

Горячий кошелек — это приложение, которое хранит приватные ключи на том же устройстве, на котором оно установлено, и имеет доступ к интернету.

Холодный кошелек — отдельное аппаратное устройство, которое хранит приватные ключи полностью офлайн.

В случае с горячими кошельками зловред отслеживает экран создания или восстановления кошелька и перехватывает сид-фразу. Если пользователь вводит ее, злоумышленники получают полный доступ к средствам.

Выманить данные у владельцев холодных криптокошельков сложнее, поэтому злоумышленники полагаются на более изощренные методы. Например, сервис Ledger предполагает использование мобильного приложения в связке с аппаратным устройством, которое подписывает транзакции. Официальное приложение никогда не запрашивает сид-фразу, ее необходимо вводить на самом устройстве-кошельке. Чтобы получить эту информацию, злоумышленники прибегают к фишингу, то есть требуют пользователя «пройти проверку безопасности» и для этого ввести сид-фразу.

На кого направлена кампания. Почти все обнаруженные фишинговые приложения были доступны только пользователям китайского сегмента App Store, где отсутствуют официальные iOS-приложения этих криптокошельков. Это указывает на то, что кампания в первую очередь нацелена на пользователей из Китая. При этом вредоносные модули не имеют региональных ограничений, поэтому потенциально жертвами могут стать пользователи и в других странах.

«Обнаруженные нами фальшивые приложения сами по себе не являются вредоносными, однако они служат важным звеном в формировании доверия пользователя и доставке троянца на его устройство. Механизм, предназначенный для установки корпоративных приложений, позволяет злоумышленникам распространять свое ПО на любое iOS-устройство, если конечный пользователь попадется на фишинг. Всегда нужно проверять, что скачанное приложение выпущено официальным разработчиком. И не устанавливать никакие дополнительные приложения, конфигурационные файлы или профили разработчиков, особенно с незнакомых сайтов. Мы предполагаем, что в будущем могут появиться и другие приложения для кражи криптовалюты с использованием похожей схемы», — комментирует Сергей Пузан, эксперт по кибербезопасности «Лаборатории Касперского».

Решения «Лаборатории Касперского» защищают от этой угрозы и детектируют троянец следующими вердиктами: HEUR:Trojan PSW.IphoneOS.FakeWallet.*, HEUR:Trojan.IphoneOS.FakeWallet.*.

Чтобы снизить риски, «Лаборатория Касперского» рекомендует пользователям:

— установить на смартфон надежное защитное решение*;

— не устанавливать профили разработчиков, если только они не были предоставлены вашим работодателем;

— скачивать приложения из официальных источников: благодаря модерации риск столкнуться с вредоносной программой в таких магазинах ниже. При этом в официальных сторах тоже важно быть внимательными: не загружать из них подозрительные приложения, обращать внимание на рейтинг программ, отзывы, разработчика;

— перед установкой приложения, даже из официального магазина, заходить на официальный сайт разработчика и сравнивать ссылки на приложения, смотреть, какие еще приложения этого издателя есть в App Store.