В App Store обнаружено 26 фейковых криптокошельков с троянским загрузчиком

Эксперты «Лаборатории Касперского» обнаружили в App Store фейковые приложения, имитирующие популярные криптокошельки, в том числе MetaMask, Ledger, Trust Wallet и Coinbase. Об этом говорится в сообщении, поступившем в "Газету.Ру".

После установки такие приложения перенаправляют пользователя на фейковые страницы, имитирующие официальный магазин приложений, где предлагают повторно скачать якобы необходимый сервис. На самом деле пользователи скачивают троянские версии криптокошельков.

Технически атака основана на легитимном механизме распространения корпоративных iOS-приложений. Пользователю предлагается установить профиль разработчика, который позволяет злоумышленникам обходить стандартные ограничения платформы и загружать на устройство вредоносное ПО.

Функционал троянца адаптируется к типу используемого кошелька. В случае с горячими кошельками вредоносное ПО перехватывает сид-фразы при создании или восстановлении доступа, получая полный контроль над активами. Владельцы аппаратных решений, таких как продукты Ledger, используют фишинговые скрипты, имитирующие процедуры «проверки безопасности» с целью вымогательства конфиденциальных данных.

Анализ метаданных показывает, что кампания активна как минимум с осени 2025 года. Эксперты связывают ее с ранее зафиксированными атаками группы SparkKitty. При этом большая часть выявленных приложений ориентирована на китайский сегмент App Store, где отсутствуют официальные версии ряда криптокошельков, но сама вредоносная инфраструктура не имеет географических ограничений. Apple была уведомлена об обнаруженных приложениях.

"Обнаруженные нами в App Store фейковые приложения сами по себе не являются вредоносными, но служат важным звеном в построении доверия пользователя и доставке троянца на его устройство. Благодаря механизму, предназначенному для установки корпоративных приложений, всего лишь заплатив определенную плату, злоумышленники имеют возможность распространить свое ПО на любое iOS-устройство, если конечный пользователь попался на фишинг. Всегда следует проверять, что скачанное приложение от официального разработчика, и не устанавливать никаких дополнительных приложений, конфигурационных файлов или профилей разработчиков, особенно с незнакомых сайтов", - рассказал Сергей. Пузан, эксперт по кибербезопасности «Лаборатории Касперского».