Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки. Злоумышленники используют их как приманку: если скачать такую программу, она перенаправит пользователя на фишинговую страницу, где ему предложат повторно скачать «нужное» приложение. На самом деле так атакующие распространяют троянизированные версии криптокошельков. Согласно метаданным из обнаруженных образцов, кампания активна как минимум с осени 2025 года. Предположительно, за ней стоят злоумышленники, ответственные за атаки SparkKitty. Обо всех выявленных вредоносных приложениях «Лаборатория Касперского» уведомила Apple.

Как троянец попадает на устройство. Всего эксперты обнаружили 26 фальшивых приложений, имитирующих популярные криптокошельки, включая MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Чтобы такие приложения выглядели легитимно и не вызывали подозрений, злоумышленники копировали оригинальные визуальные элементы — иконки и названия, а также добавляли в них так называемые функции-заглушки: игры, калькулятор, менеджеры задач.

После установки и запуска приложение открывает в браузере пользователя фишинговую страницу, имитирующую App Store, где ему предлагается повторно скачать «нужное» приложение для управления криптовалютой. На самом деле через такие страницы распространяются троянизированные версии криптокошельков.

Механизм установки вредоносного ПО аналогичен ранее описанной кампании SparkKitty: злоумышленники используют инструменты разработчика для распространения корпоративных приложений. В расчёте на доверчивость пользователя они побуждают его установить на устройство профиль разработчика, что в дальнейшем позволяет загрузить вредоносное приложение.

Как происходит кража средств. Злоумышленники адаптируют вредоносную нагрузку под конкретные приложения криптокошельков, а также применяют различные методы кражи в зависимости от типа кошелька — горячего или холодного. Горячий кошелёк — это приложение, которое хранит приватные ключи на том же устройстве, на котором оно установлено, и имеет доступ к интернету. Холодный кошелёк — отдельное аппаратное устройство, которое хранит приватные ключи полностью офлайн.

В случае с горячими кошельками зловред отслеживает экран создания или восстановления кошелька и перехватывает сид-фразу. Если пользователь вводит её, злоумышленники получают полный доступ к средствам.

Выманить данные у владельцев холодных криптокошельков сложнее, поэтому злоумышленники полагаются на более изощрённые методы. Например, сервис Ledger предполагает использование мобильного приложения в связке с аппаратным устройством, которое подписывает транзакции. Официальное приложение никогда не запрашивает сид-фразу — её необходимо вводить на самом устройстве-кошельке. Чтобы получить эту информацию, злоумышленники прибегают к фишингу — требуют от пользователя «пройти проверку безопасности» и для этого ввести сид-фразу.

На кого направлена кампания. Почти все обнаруженные фишинговые приложения были доступны только пользователям китайского сегмента App Store, где отсутствуют официальные iOS-приложения этих криптокошельков. Это указывает на то, что кампания в первую очередь нацелена на пользователей из Китая. При этом сами вредоносные модули не имеют региональных ограничений, поэтому потенциально жертвами могут стать пользователи и в других странах.