تم الكشف عن محافظ تشفير مزيفة مصممة لسحب الأصول الرقمية على متجر آبل للتطبيقات
ra****@gmail.com2026-05-07
وجدت كاسبرسكي 26 تطبيق محفظة مشفرة مزيفة على متجر تطبيقات iOS تقوم بسرقة عبارات البذور. كما استنزف تطبيق ليدجر مزيف منفصل 9.5 مليون دولار من أكثر من 50 ضحية في أقل من أسبوع عبر خلاط AudiA6.

لطالما تمتع متجر التطبيقات (App Store) بسمعة قوية كمكان آمن لتنزيل التطبيقات. وفي هذا الصدد، كان يُعتقد أن البرامج الضارة لن تتمكن من تجاوز عملية المراجعة. تلقت هذه السمعة ضربة قوية خلال أبريل 2026 عندما اكتشف باحثو الأمن 26 تطبيقًا احتياليًا لمحفظة العملات المشفرة على متجر التطبيقات؛ بالإضافة إلى ذلك، تطبيق Ledger مزيف سرق أكثر من 9.5 مليون دولار من أكثر من 50 شخصًا في أقل من سبعة أيام. تكشف هذه الحوادث عن قصور كبير في أمان متجر التطبيقات يجب أن يكون مستخدمو العملات المشفرة على دراية به.
حملة FakeWallet
قام فريق استخبارات التهديدات في كاسبرسكي بتحليل دقيق لعملية برمجيات خبيثة منسقة تسمى FakeWallet. تم تتبع هذه العملية إلى الحد الأدنى من الإطار الزمني لخريف 2025 ومن المرجح أنها مرتبطة بنفس الجهات الفاعلة المعروفة سابقًا بـ SparkKitty — وهي عملية برمجيات خبيثة تستهدف نظام iOS تم الإبلاغ عنها قبل عام واحد فقط. صُممت التطبيقات لتبدو وتعمل تمامًا مثل سبع محافظ عملات مشفرة شائعة مختلفة (MetaMask، Coinbase، Ledger، Trust Wallet، TokenPocket، imToken، و Bitpie). لقد قلدت المظهر البصري ونسقت واجهاتها بحيث تمر على الفحص العادي — وقد تم العثور عليها بشكل رئيسي في متجر تطبيقات iOS الصيني، حيث لا توجد محافظ عملات مشفرة رسمية بسبب اللوائح المحلية. سعى الفاعلون الخبيثون إلى استغلال هذه الفجوة عن طريق إنشاء تطبيقاتهم كألعاب/آلات حاسبة لتجاوز المراجعة الأولية لشركة Apple والتحول إلى عمل ضار بمجرد التثبيت.
كيف يعمل الهجوم
بمجرد أن يقوم المستخدمون بتثبيت التطبيق الخبيث، سيقوم بإعادة توجيههم إلى صفحة ويب مصممة لتبدو كصفحة متجر تطبيقات Apple شرعية تطلب منهم تنزيل ما هو في الواقع نسخة مُلغمة (تروجان) من تطبيق محفظة العملات المشفرة. ثم تطلب الصفحة من المستخدم تثبيت ملف تعريف مطور (طريقة توزيع تطبيقات داخلية ومشروعة لشركة Apple) والذي، بمجرد الموافقة عليه، سيقوم بتثبيت نسخة مُلغمة من محفظة العملات المشفرة على هاتف المستخدم. بعد اكتمال التثبيت، سيستمر الهجوم اعتمادًا على نوع المحفظة المستهدفة.
إذا كانت المحفظة التي يستخدمها الضحية مصنفة كمحفظة 'ساخنة' (hot wallet)، فستقوم البرمجيات الخبيثة باعتراض شاشة إنشاء المحفظة أو استردادها، منتظرة لحظة قيام الضحية بإدخال عبارة الاسترداد (seed phrase) الخاصة به. إذا تمكنت البرمجيات الخبيثة من التقاط عبارة الاسترداد (ولن يكون لدى الضحية أي طريقة لمعرفة أنه تم التقاطها)، فسيحظى الفاعلون الخبيثون بالتحكم الكامل والدائم في محفظة الضحية وكل ما هو مخزن داخل تلك المحفظة. لا توجد طريقة لعكس ذلك. سلسلة الكتل (البلوك تشين) ليس لديها فكرة عن كيفية الحصول على المفتاح الخاص.
بالنسبة للمحافظ التي تندرج تحت فئة المحافظ 'الباردة' (cold wallet)، مثل Ledger، ستستخدم البرمجيات الخبيثة ناقل هجوم مختلفًا للسيطرة على أصول محفظة الضحية. لا يطلب تطبيق Ledger الرسمي للهواتف الذكية عبارات الاسترداد أبدًا ويتفاعل فقط مع جهاز Ledger المادي (يتم تخزين المفاتيح الخاصة الفعلية على هذا الجهاز المادي). ستنشئ البرمجيات الخبيثة نسخة مزيفة من تطبيق Ledger للهواتف الذكية وتقدم خطوات لأغراض التحقق؛ ستطلب خطوات التحقق عبارة الاسترداد الخاصة بالضحية لإكمال عملية التحقق. تم تصميم عملية التثبيت هذه عمدًا لإساءة استغلال مستوى ثقة الضحية في التطبيق الشرعي للحصول على وصول آمن إلى أصوله.
يتم تشفير عبارات الاسترداد الملتقطة باستخدام RSA وإرسالها إلى خوادم يتحكم فيها المهاجم. بمجرد استنزاف الأموال، يصبح الاسترداد مستحيلاً.
حادثة Ledger والخسائر المالية
بين 7 و13 أبريل، قامت نسخة مزورة من تطبيق Ledger Live تم إنشاؤها بشكل احتيالي على متجر تطبيقات macOS بالاحتيال على أكثر من 50 ضحية مختلفة، وسرقت منهم أكثر من 9.5 مليون دولار كقيمة إجمالية. شملت أكبر ثلاث خسائر 3.23 مليون دولار من USDT، و2.08 مليون دولار من USDC، و1.95 مليون دولار من أنواع BTC وETH وstETH مجتمعة. تم تحويل 7.76 مليون دولار من الأموال المسروقة عبر 150 عنوان إيداع منفصل في KuCoin وتم غسلها عبر خدمة خلط مركزية تسمى AudiA6، والتي صُممت لإخفاء أي أثر لنشاط المعاملات. أبلغ أحد الضحايا عن فقدان ما يعادل 5.9 بيتكوين (مدخرات 10 سنوات) بعد تنزيل نسخة تبدو رسمية من التطبيق عن طريق الخطأ أثناء إعداد جهاز الكمبيوتر الجديد الخاص به.
حقائق رئيسية سريعة
ما يجب على المستخدمين فعله
بعد الكشف المسؤول من قبل كاسبرسكي، قامت Apple بإزالة 25 من أصل 26 تطبيقًا من تطبيقات FakeWallet قبل نشر البحث. وبعد أن تم الإعلان عن تقرير السرقة، أزالت Apple تطبيق Ledger الاحتيالي الخاص بنظام macOS.
وفقًا لكاسبرسكي، يجب ألا تقوم بتثبيت أي ملف تعريف مطور غير مصرح به من قبل صاحب العمل لغرض تجاري مشروع. ويجب عليك أيضًا عدم إدخال عبارة الاسترداد الخاصة بك في أي تطبيق يطلبها منك بشكل غير متوقع، حيث إن تطبيقات المحافظ الحقيقية لن تطلب عبارة الاسترداد أبدًا بدون استخدام أجهزتها المادية. ويجب عليك أيضًا التحقق من ناشر كل تطبيق تقوم بتنزيله عن طريق مراجعة الموقع الرسمي للمطور قبل تنزيل التطبيق، سواء كنت تحصل على التطبيق من متجر التطبيقات أم لا.
متجر التطبيقات ليس بمنأى عن الاختراقات. هذه حقيقة موثقة جيدًا مدعومة بالأدلة، وليست مجرد قلق نظري مدفون داخل ورقة بيضاء أمنية لا يقرأها معظم المستخدمين.





