В китайский Apple App Store проникли приложения для кражи криптовалюты

26 вредоносных приложений в Apple App Store выдают себя за популярные кошельки, такие как Metamask, Coinbase, Trust Wallet и OneKey, чтобы похищать резервные или начальные фразы и выводить криптовалютные активы.

Злоумышленник использовал различные методы для имитации официальных продуктов, в том числе подмену названий и подделку логотипов, чтобы заставить пользователей в Китае скачать их.

Поскольку в стране такие приложения запрещены, злоумышленник опубликовал их под видом игр или калькуляторов, вероятно, в надежде, что пользователи воспримут их как способ обойти запреты.

По словам исследователей «Лаборатории Касперского», все 26 поддельных приложений являются частью одной и той же кампании, которую они назвали FakeWallet, и связаны с операцией SparkKitty, проводимой с прошлого года.

После запуска приложения перенаправляют пользователей на фишинговые страницы, которые выглядят как настоящие порталы криптовалютных сервисов.

Поддельный сайт, выдающий себя за Ledger
Источник: Касперский

Эти сайты убеждают жертв загружать троянизированные приложения-кошельки с помощью профилей подготовки iOS — законной корпоративной функции, которую злоумышленники используют для установки вредоносного ПО на устройства пользователей. Тот же метод использовался в SparkKitty.

Установка профиля подготовки
Источник: Касперский

Троянизированные приложения содержат дополнительный код, который перехватывает мнемонические фразы при настройке или восстановлении кошелька, шифрует их с помощью RSA и Base64 и отправляет злоумышленнику.

В случае с аппаратными кошельками, такими как Ledger, злоумышленники используют фишинговые запросы в приложении, чтобы обманом заставить пользователей вручную вводить начальные фразы на поддельных экранах проверки безопасности.

Эти фразы, которые известны только законному владельцу кошелька, предназначены для переноса/восстановления кошелька на новых устройствах и не требуют дополнительного подтверждения или ввода пароля.

Таким образом, злоумышленники могут использовать их для восстановления доступа к кошельку жертвы на своих устройствах и опустошить его без возможности вернуть средства.

Экран для определения начальной фразы
Источник: Касперский

«Лаборатория Касперского» отметила, что кампания в первую очередь нацелена на пользователей в Китае. Однако само вредоносное ПО не имеет географических ограничений, поэтому оно может затронуть пользователей по всему миру, если операторы решат расширить сферу своего влияния.

Владельцам криптовалют рекомендуется проверять информацию об издателе приложений, которые они скачивают, даже если они установлены из официальных магазинов приложений, и использовать только ссылки, размещенные на официальном сайте.

На прошлой неделе стало известно, что мошенническое приложение Ledger, попавшее в App Store от Apple, украло криптовалюту на сумму 9,5 миллионов долларов у 50 пользователей macOS.

После того как «Лаборатория Касперского» сообщила о проблеме, Apple удалила из App Store все 26 приложений FakeWallet.

Редактор: AndreyEx