Portofele Crypto False Concepute pentru a Sustrage Active Digitale Identificate în Magazinul Apple App Store

App Store a avut o reputație solidă ca loc sigur pentru descărcarea aplicațiilor. În acest sens, se credea că software-ul malițios nu va trece de procesul de verificare. Această reputație a fost puternic afectată în aprilie 2026, când cercetătorii în securitate au descoperit 26 de aplicații frauduloase de portofel de criptomonede în App Store; mai mult, o aplicație falsă Ledger a furat peste 9,5 milioane de dolari de la peste 50 de persoane în mai puțin de șapte zile. Aceste incidente scot în evidență o deficiență majoră în securitatea App Store, de care utilizatorii de criptomonede ar trebui să fie conștienți.

Campania FakeWallet

Echipa de Threat Intelligence a Kaspersky a analizat în detaliu o operațiune coordonată de malware numită FakeWallet. Această operațiune a fost urmărită până cel puțin în toamna anului 2025 și este probabil asociată cu aceiași actori cunoscuți anterior pentru SparkKitty – o operațiune de malware bazată pe iOS, raportată cu doar un an mai devreme. Aplicațiile au fost concepute să arate și să funcționeze exact ca șapte portofele de criptomonede populare diferite (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken și Bitpie). Acestea imitau aspectul vizual și își aranjau interfețele astfel încât să treacă de o verificare superficială – și au fost găsite în principal în App Store-ul iOS chinezesc, unde nu există portofele oficiale de criptomonede din cauza reglementărilor locale. Actorii malițioși au căutat să exploateze această lacună creând aplicațiile lor sub formă de jocuri/calculatoare pentru a trece de verificarea inițială a Apple și a trece la acțiuni malițioase odată instalate.

Cum funcționează atacul

Odată ce utilizatorii au instalat aplicația malițioasă, aceasta îi va redirecționa către o pagină web concepută să arate ca o pagină legitimă a Apple App Store, solicitându-le să descarce ceea ce este de fapt o versiune troianizată a unei aplicații de portofel crypto. Pagina solicită apoi utilizatorului să instaleze un profil de dezvoltator (o metodă legitimă, internă de distribuție a aplicațiilor pentru Apple) care, odată aprobat, va instala o versiune troianizată a unui portofel crypto pe telefonul utilizatorului. După finalizarea instalării, atacul va continua în funcție de tipul de portofel vizat.

Dacă portofelul utilizat de victimă este clasificat ca un portofel 'hot', malware-ul va intercepta ecranul de creare sau recuperare a portofelelor, așteptând să captureze exact momentul în care victima introduce fraza sa seed. Dacă malware-ul reușește să captureze fraza seed (și victima nu ar avea cum să știe că a fost capturată), actorii malițioși ar avea control total și permanent asupra portofelului victimei și a tuturor bunurilor stocate în acesta. Nu există nicio modalitate de a inversa acest lucru. Blockchain-ul nu știe cum a fost obținută cheia privată.

Pentru portofelele care se încadrează în categoria portofelelor 'cold', cum ar fi Ledger, malware-ul va utiliza un vector de atac diferit pentru a obține controlul asupra activelor din portofelul victimei. Aplicația legitimă Ledger pentru smartphone nu cere niciodată fraze seed și interacționează doar cu dispozitivul hardware Ledger (cheile private reale sunt stocate pe acel dispozitiv hardware). Malware-ul va crea o versiune falsă a aplicației Ledger pentru smartphone și va oferi pași pentru scopuri de verificare; pașii de verificare vor cere fraza seed a victimei pentru a finaliza procesul de verificare. Acest proces de instalare este conceput intenționat pentru a abuza de nivelul de încredere al victimei în aplicația legitimă, pentru a obține acces securizat la activele sale.

Frazele seed capturate sunt criptate folosind RSA și transmise către servere controlate de atacatori. Odată ce fondurile sunt golite, recuperarea nu este posibilă.

Incidentul Ledger și prejudiciul financiar

Între 7 și 13 aprilie, o aplicație Ledger Live creată fraudulos în macOS App Store a fraudat peste 50 de victime diferite de peste 9,5 milioane de dolari în valoare totală. Cele trei cele mai mari pierderi au constat în 3,23 milioane de dolari în USDT, 2,08 milioane de dolari în USDC și 1,95 milioane de dolari în tipuri combinate de BTC, ETH și stETH. 7,76 milioane de dolari din fondurile furate au fost transferate prin 150 de adrese separate de depozit KuCoin și au fost spălate printr-un serviciu centralizat de mixing numit AudiA6, conceput pentru a ascunde orice urmă a activității tranzacționale. Una dintre victime a raportat că a pierdut echivalentul a 5,9 BTC (economiile pe 10 ani) după ce a descărcat din greșeală o versiune cu aspect oficial a aplicației în timp ce își configura noul computer.

Fapte cheie pe scurt

Ce ar trebui să facă utilizatorii

În urma dezvăluirii responsabile a Kaspersky, Apple a eliminat 25 din cele 26 de aplicații FakeWallet înainte de publicarea cercetării sale. După ce un raport de furt a fost făcut public, Apple a eliminat aplicația frauduloasă Ledger pentru macOS.

Potrivit Kaspersky, nu ar trebui să instalați niciun profil de dezvoltator care nu este autorizat de angajatorul dumneavoastră într-un scop de afaceri legitim. De asemenea, nu ar trebui să introduceți fraza seed în nicio aplicație care o solicită în mod neașteptat, deoarece aplicațiile legitime de portofel nu vor solicita niciodată o frază seed fără utilizarea dispozitivelor lor hardware fizice. De asemenea, ar trebui să verificați editorul fiecărei aplicații pe care o descărcați, consultând site-ul web oficial al dezvoltatorului înainte de a descărca aplicația, indiferent dacă o obțineți din App Store.

App Store nu este ferit de compromisuri. Acesta este un fapt bine documentat, susținut de dovezi, nu o preocupare teoretică îngropată într-o carte albă de securitate pe care majoritatea utilizatorilor nu o citesc.