Fałszywe portfele kryptowalutowe zaprojektowane do wyłudzania aktywów cyfrowych zidentyfikowane w Apple App Store
ra****@gmail.com2026-05-07
Kaspersky znalazł 26 fałszywych aplikacji portfeli kryptowalutowych w App Store na iOS kradnących frazy seed. Osobna fałszywa aplikacja Ledger wyczyściła 9,5 mln dolarów od ponad 50 ofiar w mniej niż tydzień za pomocą miksera AudiA6.
App Store cieszył się mocną reputacją jako bezpieczne miejsce do pobierania aplikacji. W związku z tym wierzono, że złośliwe oprogramowanie nie przejdzie przez proces weryfikacji. Ta reputacja poważnie ucierpiała w kwietniu 2026 roku, kiedy badacze bezpieczeństwa odkryli w App Store 26 fałszywych aplikacji portfeli kryptowalutowych; ponadto, fałszywa aplikacja Ledger ukradła ponad 9,5 miliona dolarów od ponad 50 osób w mniej niż siedem dni. Incydenty te ujawniają poważne niedociągnięcie w bezpieczeństwie App Store, o którym użytkownicy kryptowalut powinni zostać poinformowani.
Kampania FakeWallet
Zespół Kaspersky Threat Intelligence dokładnie przeanalizował skoordynowaną operację złośliwego oprogramowania o nazwie FakeWallet. Operacja ta została prześledzona do co najmniej jesieni 2025 roku i prawdopodobnie jest powiązana z tymi samymi aktorami, którzy wcześniej byli znani z SparkKitty — operacji złośliwego oprogramowania na iOS, zgłoszonej zaledwie rok wcześniej. Aplikacje zostały zaprojektowane tak, aby wyglądały i działały identycznie jak siedem różnych popularnych portfeli kryptowalutowych (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken i Bitpie). Naśladowały one wygląd wizualny i układ interfejsów w taki sposób, aby przejść pobieżną kontrolę — i zostały znalezione głównie w chińskim App Store iOS, gdzie żadne oficjalne portfele kryptowalutowe nie istnieją z powodu lokalnych przepisów. Złośliwi aktorzy starali się wykorzystać tę lukę, tworząc swoje aplikacje jako gry/kalkulatory, aby przejść wstępną weryfikację Apple, a po zainstalowaniu przełączyć się na złośliwe działanie.
Jak działa atak
Po zainstalowaniu złośliwej aplikacji, przekieruje ona użytkowników na stronę internetową, która wygląda jak legalna strona Apple App Store, prosząc ich o pobranie tego, co w rzeczywistości jest trojanizowaną wersją aplikacji portfela kryptowalutowego. Strona następnie zachęca użytkownika do zainstalowania profilu deweloperskiego (legalna, wewnętrzna metoda dystrybucji aplikacji dla Apple), który po zatwierdzeniu zainstaluje trojanizowaną wersję portfela kryptowalutowego na telefonie użytkownika. Po zakończeniu instalacji atak będzie przebiegał w zależności od typu atakowanego portfela.
Jeśli portfel używany przez ofiarę jest sklasyfikowany jako "gorący" portfel, złośliwe oprogramowanie przechwyci ekran tworzenia lub odzyskiwania portfeli, czekając na moment, gdy ofiara wprowadzi swoją frazę odzyskiwania. Jeśli złośliwe oprogramowanie zdoła przechwycić frazę odzyskiwania (a ofiara nie będzie miała pojęcia, że została ona przechwycona), złośliwi aktorzy będą mieli całkowitą, trwałą kontrolę nad portfelem ofiary i wszystkim, co jest w nim przechowywane. Nie ma możliwości odwrócenia tego. Blockchain nie ma pojęcia, w jaki sposób klucz prywatny został uzyskany.
W przypadku portfeli należących do kategorii "zimnych" portfeli, takich jak Ledger, złośliwe oprogramowanie wykorzysta inny wektor ataku, aby przejąć kontrolę nad aktywami portfela ofiary. Legalna aplikacja Ledger na smartfony nigdy nie prosi o frazę odzyskiwania i wchodzi w interakcje tylko z urządzeniem sprzętowym Ledger (rzeczywiste klucze prywatne są przechowywane na tym urządzeniu sprzętowym). Złośliwe oprogramowanie stworzy fałszywą wersję aplikacji Ledger na smartfony i przedstawi kroki weryfikacyjne; kroki weryfikacyjne poproszą o frazę odzyskiwania ofiary w celu zakończenia procesu weryfikacji. Ten proces instalacji jest celowo zaprojektowany tak, aby nadużywać poziomu zaufania ofiary do legalnej aplikacji w celu uzyskania bezpiecznego dostępu do jej aktywów.
Przechwycone frazy odzyskiwania są szyfrowane za pomocą RSA i przesyłane na serwery kontrolowane przez atakujących. Po wyczerpaniu środków, odzyskanie nie jest możliwe.
Incydent z Ledger i szkody finansowe
W dniach 7–13 kwietnia, fałszywie stworzona aplikacja Ledger Live w sklepie macOS App Store oszukała ponad 50 różnych ofiar na łączną kwotę ponad 9,5 miliona dolarów. Trzy największe straty obejmowały 3,23 miliona dolarów w USDT, 2,08 miliona dolarów w USDC i 1,95 miliona dolarów w łącznych typach BTC, ETH i stETH. 7,76 miliona dolarów skradzionych środków zostało przetransferowanych za pośrednictwem 150 oddzielnych adresów depozytowych KuCoin i zostało wypranych za pośrednictwem scentralizowanej usługi miksowania zwanej AudiA6, która została zaprojektowana w celu zaciemnienia wszelkich śladów aktywności transakcyjnej. Jedna z ofiar zgłosiła utratę równowartości 5,9 BTC (10 lat oszczędności) po przez pomyłkę pobraniu oficjalnie wyglądającej wersji aplikacji podczas konfiguracji nowego komputera.
Kluczowe fakty w skrócie
Co powinni zrobić użytkownicy
Po odpowiedzialnym ujawnieniu przez Kaspersky, Apple usunęło 25 z 26 aplikacji FakeWallet przed publikacją swoich badań. Po upublicznieniu zgłoszenia kradzieży, Apple usunęło fałszywą aplikację Ledger na macOS.
Według Kaspersky'ego, nie należy instalować żadnych profili deweloperskich, które nie są autoryzowane przez pracodawcę w uzasadnionych celach biznesowych. Nie należy również wprowadzać frazy odzyskiwania do żadnej aplikacji, która nieoczekiwanie o nią prosi, ponieważ rzeczywiste aplikacje portfeli nigdy nie poproszą o frazę odzyskiwania bez użycia fizycznych urządzeń sprzętowych. Zawsze należy zweryfikować wydawcę każdej pobieranej aplikacji, sprawdzając oficjalną stronę dewelopera przed pobraniem aplikacji, niezależnie od tego, czy pobierasz ją z App Store.
App Store nie jest wolny od zagrożeń. Jest to dobrze udokumentowany fakt poparty dowodami, a nie teoretyczna obawa ukryta w białej księdze bezpieczeństwa, której większość użytkowników nie czyta.
