एप्पल ऐप स्टोर पर डिजिटल संपत्ति निकालने के लिए डिज़ाइन किए गए नकली क्रिप्टो वॉलेट्स की पहचान हुई

ऐप स्टोर की ऐप्स डाउनलोड करने के लिए एक सुरक्षित जगह के रूप में अच्छी प्रतिष्ठा रही है। इस संबंध में, यह माना जाता था कि खराब सॉफ़्टवेयर समीक्षा प्रक्रिया से बच नहीं पाएगा। अप्रैल 2026 में इस प्रतिष्ठा को बड़ा झटका लगा, जब सुरक्षा शोधकर्ताओं ने ऐप स्टोर पर 26 धोखाधड़ी वाले क्रिप्टोकरेंसी वॉलेट ऐप्स का पर्दाफाश किया; इसके अलावा, एक नकली लेजर ऐप ने सात दिनों से भी कम समय में 50 से अधिक लोगों से 9.5 मिलियन डॉलर से अधिक की चोरी की। ये घटनाएँ ऐप स्टोर सुरक्षा में एक बड़ी कमी को उजागर करती हैं, जिसके बारे में क्रिप्टोकरेंसी उपयोगकर्ताओं को अवगत होना चाहिए।

फेकवॉलेट अभियान

कैस्पर्सकी की थ्रेट इंटेलिजेंस टीम ने फेकवॉलेट नामक एक समन्वित मैलवेयर ऑपरेशन का बारीकी से विश्लेषण किया है। इस ऑपरेशन का पता कम से कम पतझड़ 2025 से लगाया गया है और यह संभवतः उन्हीं हमलावरों से जुड़ा है जो पहले स्पार्ककित्ती – एक आईओएस-आधारित मैलवेयर ऑपरेशन, जिसकी सूचना एक साल पहले दी गई थी – के लिए जाने जाते हैं। ऐप्स को सात अलग-अलग लोकप्रिय क्रिप्टोकरेंसी वॉलेट्स (मेटामास्क, कॉइनबेस, लेजर, ट्रस्ट वॉलेट, टोकनपॉकेट, आईएमटोकन, और बिटपीई) की तरह दिखने और काम करने के लिए डिज़ाइन किया गया था। उन्होंने दृश्य उपस्थिति की नकल की और अपने इंटरफेस को इस तरह से व्यवस्थित किया कि वे सामान्य जांच में पास हो सकें – और वे मुख्य रूप से चीनी आईओएस ऐप स्टोर पर पाए गए, जहाँ स्थानीय नियमों के कारण कोई आधिकारिक क्रिप्टोकरेंसी वॉलेट मौजूद नहीं है। दुर्भावनापूर्ण अभिनेताओं ने इस कमी का फायदा उठाने की कोशिश की, अपने एप्लिकेशन को गेम/कैलकुलेटर के रूप में बनाकर एप्पल की प्रारंभिक समीक्षा को पास किया और एक बार इंस्टॉल होने के बाद दुर्भावनापूर्ण कार्रवाई में बदल गए।

हमला कैसे काम करता है

एक बार जब उपयोगकर्ता दुर्भावनापूर्ण ऐप इंस्टॉल कर लेते हैं, तो यह उन्हें एक वेब पेज पर रीडायरेक्ट करेगा जो एक वैध एप्पल ऐप स्टोर पेज जैसा दिखता है, उनसे एक क्रिप्टो वॉलेट एप्लिकेशन का वास्तव में ट्रोजन-युक्त संस्करण डाउनलोड करने का अनुरोध करेगा। फिर पेज उपयोगकर्ता को एक डेवलपर प्रोफ़ाइल (एप्पल के लिए एक वैध, आंतरिक ऐप वितरण विधि) इंस्टॉल करने के लिए प्रेरित करेगा, जो एक बार अनुमोदित होने के बाद, उपयोगकर्ता के फोन पर एक ट्रोजन-युक्त क्रिप्टो वॉलेट स्थापित करेगा। स्थापना पूरी होने के बाद हमला उस वॉलेट के प्रकार के आधार पर आगे बढ़ेगा जिस पर हमला किया जा रहा है।

यदि पीड़ित जिस वॉलेट का उपयोग कर रहा है उसे 'हॉट' वॉलेट के रूप में वर्गीकृत किया गया है, तो मैलवेयर वॉलेट के निर्माण या रिकवरी स्क्रीन को इंटरसेप्ट करेगा ताकि ठीक उसी समय कैप्चर किया जा सके जब कोई पीड़ित अपना सीड वाक्यांश दर्ज करता है। यदि मैलवेयर सीड वाक्यांश को कैप्चर करने में सक्षम होता है (और पीड़ित को यह जानने का कोई तरीका नहीं होगा कि इसे कैप्चर किया गया है), तो दुर्भावनापूर्ण अभिनेताओं का पीड़ित के वॉलेट और उस वॉलेट में संग्रहीत सब कुछ पर पूर्ण, स्थायी नियंत्रण होगा। इसे उलटने का कोई तरीका नहीं है। ब्लॉकचेन को यह नहीं पता होता कि निजी कुंजी कैसे प्राप्त की गई।

'कोल्ड' वॉलेट श्रेणी में आने वाले वॉलेट, जैसे लेजर, के लिए मैलवेयर पीड़ित के वॉलेट संपत्तियों पर नियंत्रण प्राप्त करने के लिए एक अलग हमला वेक्टर का उपयोग करेगा। वैध लेजर स्मार्टफोन एप्लिकेशन कभी भी सीड वाक्यांश नहीं पूछता है और केवल लेजर हार्डवेयर डिवाइस के साथ इंटरैक्ट करता है (वास्तविक निजी कुंजी उस हार्डवेयर डिवाइस पर संग्रहीत होती हैं)। मैलवेयर लेजर स्मार्टफोन एप्लिकेशन का एक नकली संस्करण बनाएगा और सत्यापन उद्देश्यों के लिए कदम प्रदान करेगा; सत्यापन चरणों में सत्यापन प्रक्रिया को पूरा करने के लिए पीड़ित का सीड वाक्यांश मांगा जाएगा। यह स्थापना प्रक्रिया जानबूझकर वैध एप्लिकेशन में पीड़ित के भरोसे के स्तर का दुरुपयोग करने के लिए डिज़ाइन की गई है ताकि उनकी संपत्तियों तक सुरक्षित पहुंच प्राप्त की जा सके।

कैप्चर किए गए सीड वाक्यांशों को आरएसए का उपयोग करके एन्क्रिप्ट किया जाता है और हमलावर-नियंत्रित सर्वर पर प्रेषित किया जाता है। एक बार जब धन निकाल लिया जाता है, तो रिकवरी संभव नहीं है।

लेजर घटना और वित्तीय क्षति

7-13 अप्रैल के बीच, macOS ऐप स्टोर पर धोखे से बनाए गए लेजर लाइव एप्लिकेशन ने 50 से अधिक विभिन्न पीड़ितों से कुल 9.5 मिलियन डॉलर से अधिक की धोखाधड़ी की। तीन सबसे बड़े नुकसानों में यूएसडीटी में 3.23 मिलियन डॉलर, यूएसडीसी में 2.08 मिलियन डॉलर और बीटीसी, ईटीएच और एसटईटीएच प्रकारों के संयुक्त रूप से 1.95 मिलियन डॉलर शामिल थे। चोरी किए गए धन में से 7.76 मिलियन डॉलर 150 अलग-अलग कुकॉइन डिपॉजिट पतों के माध्यम से स्थानांतरित किए गए थे और AudiA6 नामक एक केंद्रीकृत मिक्सिंग सेवा के माध्यम से मनी लॉन्ड्रिंग की गई थी, जिसे लेनदेन गतिविधि के किसी भी निशान को छिपाने के लिए डिज़ाइन किया गया था। पीड़ितों में से एक ने बताया कि उसने अपने नए कंप्यूटर को कॉन्फ़िगर करते समय गलती से एप्लिकेशन का एक आधिकारिक दिखने वाला संस्करण डाउनलोड करने के बाद 5.9 बीटीसी (10 साल की बचत) के बराबर खो दिया।

एक नज़र में मुख्य तथ्य

मद	विवरण
अभियान का नाम	फेकवॉलेट
पहचाने गए ऐप्स	26
प्रतिरूपित वॉलेट	मेटामास्क, कॉइनबेस, लेजर, ट्रस्ट वॉलेट, टोकनपॉकेट, आईएमटोकन, बिटपीई
अभियान कब से सक्रिय है	कम से कम पतझड़ 2025 से
पूर्व में जुड़ा अभियान	स्पार्ककित्ती
प्राथमिक प्रारंभिक लक्ष्य क्षेत्र	चीनी आईओएस ऐप स्टोर
मैलवेयर पर भौगोलिक प्रतिबंध	कोई नहीं – वैश्विक जोखिम संभव
एप्पल द्वारा हटाए गए ऐप्स	26 में से 25 (प्रकाशन से पहले)
अलग लेजर नकली ऐप से नुकसान	9.5 मिलियन डॉलर
लेजर घटना में पीड़ित	50+
चोरी किए गए धन को ठिकाने लगाने का मार्ग	AudiA6 मिक्सर के माध्यम से कुकॉइन डिपॉजिट पते

उपयोगकर्ताओं को क्या करना चाहिए

कैस्पर्सकी के जिम्मेदार प्रकटीकरण के बाद, एप्पल ने अपने शोध प्रकाशन से पहले 26 फेकवॉलेट एप्लीकेशन्स में से 25 को हटा दिया। चोरी की रिपोर्ट सार्वजनिक होने के बाद, एप्पल ने धोखाधड़ी वाले macOS लेजर एप्लिकेशन को हटा दिया।

कैस्पर्सकी के अनुसार, आपको कोई भी डेवलपर प्रोफ़ाइल स्थापित नहीं करनी चाहिए जो आपके नियोक्ता द्वारा किसी वैध व्यावसायिक उद्देश्य के लिए अधिकृत नहीं है। आपको किसी भी ऐसे ऐप में अपना सीड वाक्यांश भी दर्ज नहीं करना चाहिए जो आपसे अप्रत्याशित रूप से इसकी मांग करता है, क्योंकि वास्तविक वॉलेट एप्लिकेशन अपने भौतिक हार्डवेयर उपकरणों का उपयोग किए बिना कभी भी सीड वाक्यांश का अनुरोध नहीं करेंगे। आपको किसी भी एप्लिकेशन को डाउनलोड करने से पहले डेवलपर की आधिकारिक वेबसाइट की जांच करके उसके प्रकाशक को भी सत्यापित करना चाहिए, चाहे आप एप्लिकेशन को ऐप स्टोर से प्राप्त कर रहे हों या नहीं।

ऐप स्टोर समझौता-मुक्त नहीं है। यह एक अच्छी तरह से प्रलेखित तथ्य है जिसे सबूतों से समर्थन मिला है, न कि एक सुरक्षा श्वेत पत्र के भीतर दबी एक सैद्धांतिक चिंता, जिसे अधिकांश उपयोगकर्ता नहीं पढ़ते हैं।