Kaspersky Threat Research a identificat mai multe aplicații frauduloase care imită portofele crypto legitime în App Store-ul Apple. Odată deschise, aplicațiile redirecționează utilizatorii către pagini de phishing care imită App Store-ul și livrează aplicații wallet care ascund troieni, capabile să sustragă fondurile în criptomonede. Kaspersky a stabilit că această campanie este activă cel puțin din toamna anului 2025 și o atribuie, cu un grad moderat de certitudine, grupării din spatele SparkKitty.
Cele 26 de aplicații frauduloase identificate de Kaspersky imitau fiecare un portofel crypto popular, replicând elementele vizuale ale iconițelor și folosind denumiri similare pentru a induce în eroare utilizatorii:
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- ImToken
- Bitpie
Deși aplicațiile oficiale iOS pentru aceste portofele crypto nu sunt disponibile în App Store-ul iOS din China, aproape toate aplicațiile de phishing detectate erau disponibile exclusiv pentru utilizatorii iOS din această țară. Totuși, aplicațiile malițioase nu au restricții regionale, astfel că și utilizatorii din afara Chinei pot fi afectați. Kaspersky a raportat toate aplicațiile malițioase către Apple.
O aplicație de phishing care imită Ledger în App Store
Aceste aplicații de phishing includ funcționalități de bază — precum jocuri, calculatoare sau liste de sarcini — menite doar să le confere aparența de legitimitate. După descărcare și lansare, acestea deschid o pagină web care imită App Store-ul și invită utilizatorii să descarce din nou „aplicația” dorită pentru gestionarea criptomonedelor.
O pagină web care imită App Store-ul și invită la descărcarea Ledger Wallet
Procesul de instalare este similar cu SparkKitty, malware-ul iOS descris anterior de Kaspersky — folosind instrumente speciale pentru distribuirea aplicațiilor corporate. Scopul este de a crea confuzie, atacatorii mizând pe faptul că utilizatorii nu sunt atenți și adaugă un profil de dezvoltator pe dispozitivul lor, ceea ce permite ulterior descărcarea unei aplicații malware.
Victimele permit instalarea unui profil de dezvoltator pe dispozitiv, ceea ce face posibilă instalarea de aplicații din afara App Store — inclusiv aplicații malware
Astfel se instalează o aplicație de portofel crypto care ascunde un troian. Aplicațiile malware identificate de Kaspersky sunt adaptate fiecărui portofel pe care îl imită și vizează atât portofelele „hot”, cât și pe cele „cold”.
Un portofel „hot” stochează cheile private pe același dispozitiv conectat la internet pe care este instalat, ceea ce îl face convenabil pentru utilizare frecventă, dar mai vulnerabil la atacuri. În schimb, un portofel „cold” este un dispozitiv hardware dedicat, care păstrează cheile private complet offline, oferind un nivel de securitate semnificativ mai ridicat, în detrimentul comodității. În cazul portofelelor „hot”, malware-ul interceptează ecranul de creare sau recuperare a portofelului și monitorizează introducerea frazei seed; dacă aceasta este furnizată, atacatorii obțin acces complet la fondurile victimelor.
În cazul portofelelor „cold”, tactica este diferită. De exemplu, serviciul de portofel crypto Ledger oferă o aplicație front-end — aplicația mobilă Ledger Wallet — și un portofel „cold” pe un dispozitiv hardware separat, care semnează tranzacțiile doar atunci când este conectat fizic sau asociat prin Bluetooth cu un smartphone pe care este instalată aplicația. Aplicația originală Ledger Wallet nu va solicita niciodată fraza seed, deoarece aceasta este stocată în portofelul „cold”, pe dispozitivul hardware separat; însă aplicația malițioasă se bazează pe phishing și încearcă să obțină această frază de la utilizator.
Kaspersky recomandă următoarele măsuri pentru a rămâne în siguranță:
- Fiți precauți atunci când accesați link-uri din interiorul aplicațiilor, mai ales dacă o pagină apare în mod neașteptat
- Nu instalați profiluri de dezvoltator decât dacă acestea sunt furnizate de angajator
- Asigurați-vă că introduceți fraza de recuperare doar pe dispozitivul portofelului — de exemplu, aplicația originală Ledger Wallet nu o va solicita niciodată
- Verificați întotdeauna dacă aplicația pe care o instalați provine de la un dezvoltator legitim — chiar și atunci când este descărcată din App Store. Este o bună practică să verificați link-urile de descărcare pe site-ul oficial al dezvoltatorului
