Lažne aplikacije za kripto-novčanike na Apple App Store-u

Threat Research tim kompanije Kaspersky je identifikovao više zlonamernih aplikacija koje imitiraju legitimne kripto-novčanike na Apple App Store-u. Nakon pokretanja, ove aplikacije preusmeravaju korisnike na fišing stranice koje se predstavljaju kao App Store i nude preuzimanje aplikacija za novčanike zaražene trojanskim malverom, sposobnih da „isprazne“ kripto-imovinu korisnika. Kaspersky je utvrdio da je ova kampanja aktivna od jeseni 2025. godine i sa umerenim stepenom pouzdanosti je pripisuje akterima pretnji koji stoje iza SparkKitty malvera.

Kaspersky je identifikovao 26 zlonamernih aplikacija, od kojih svaka imitira popularan kripto-novčanik, kopirajući vizuelni identitet ikona i koristeći slične nazive aplikacija kako bi obmanula korisnike:

Metamask

Ledger

Trust Wallet

Coinbase

TokenPocket

imToken

Bitpie

Iako zvanične iOS aplikacije za ove kripto-novčanike nisu dostupne u kineskom iOS App Store-u, gotovo sve otkrivene fišing aplikacije bile su dostupne isključivo korisnicima iOS uređaja u Kini. Međutim, same zlonamerne aplikacije nemaju regionalna ograničenja, pa mogu pogoditi i korisnike van Kine.

Kaspersky je prijavio sve zlonamerne aplikacije kompaniji Apple.

Fišing aplikacija koja imitira Ledger na App Store-u

Ove fišing aplikacije sadrže tzv. „stub“ funkcionalnost — poput igara, kalkulatora ili menadžera zadataka — koja služi isključivo da aplikacija deluje legitimno. Nakon preuzimanja i pokretanja, aplikacija otvara veb-stranicu koja imitira App Store i poziva korisnike da ponovo preuzmu željenu aplikaciju za upravljanje kriptovalutama.

Veb-stranica koja imitira App Store i poziva na preuzimanje Ledger Wallet-a

Proces instalacije je sličan onom kod SparkKitty-ja, iOS malvera koji je Kaspersky ranije opisao — koristi posebne developerske alate namenjene distribuciji poslovnih (enterprise) aplikacija. Cilj je da se korisnik zbuni, jer napadači računaju na to da korisnici neće obratiti pažnju i da će dodati developerski profil na svoj uređaj, što zatim omogućava instalaciju zlonamerne aplikacije.

Žrtve tako dozvoljavaju instalaciju developerskog profila na uređaj, što omogućava instaliranje aplikacija van App Store-a — uključujući i zlonamerne aplikacije.

Kao rezultat toga, instalira se aplikacija za novčanike zaražene trojanskim malverom. Zlonamerne aplikacije koje je Kaspersky identifikovao prilagođene su svakom konkretnom novčaniku koji imitiraju i ciljaju i „hot“ i „cold“ novčanike.

Hot novčanik (hot wallet) čuva privatne ključeve na istom uređaju povezanom na internet na kojem je instaliran, što ga čini pogodnim za čestu upotrebu, ali i podložnijim napadima. Cold novčanik (cold wallet) je, nasuprot tome, namenski hardverski uređaj koji privatne ključeve čuva potpuno oflajn, žrtvujući deo praktičnosti zarad znatno veće bezbednosti. Kod hot novčanika, malver presreće ekran za kreiranje ili oporavak novčanika i nadgleda unos seed fraze (fraze za oporavak). Ako korisnik unese ovu frazu, napadači dobijaju potpun pristup sredstvima.

Kod cold novčanika, taktika je drugačija. Na primer, servis za kripto-novčanike Ledger nudi frontend aplikaciju — mobilnu aplikaciju Ledger Wallet — kao i cold novčanik na zasebnom hardverskom uređaju koji potpisuje transakcije samo kada je fizički povezan ili uparen putem Bluetooth-a sa pametnim telefonom na kojem je instalirana aplikacija Ledger Wallet. Originalna mobilna aplikacija za Ledger Wallet nikada ne traži seed frazu, jer se ona čuva u tzv. „cold“ novčaniku na posebnom hardverskom uređaju; međutim, zlonamerna aplikacija se oslanja na fišing i pokušava da navede korisnika da unese seed frazu.

„Iako aplikacije koje pokreću lanac napada same po sebi nisu nužno zlonamerne, one na kraju dovode do instalacije trojanca. Plaćanjem naknade i kreiranjem naloga za developere, napadači mogu ciljati bilo koji iOS uređaj ako korisnik nasjedne na fišing taktiku. Korisnici treba da budu oprezni u vezi sa rizicima upravljanja kripto-novčanicima čak i na uređajima koje smatraju bezbednim, poput iPhone-a. Očekujemo da će se pojaviti još kripto aplikacija sa trojanskim malverom distribuiranih sličnom taktikom“, izjavio je Sergey Puzan, stručnjak za mobilni malver u kompaniji Kaspersky.

Detaljne informacije dostupne su na sajtu Securelist.com.

Kaspersky preporučuje sledeće mere kako biste ostali bezbedni:

Budite oprezni prilikom otvaranja linkova unutar aplikacija, naročito kada se stranica pojavi neočekivano

Ne instalirajte developerske profile osim ako ih niste dobili od svog poslodavca

Seed frazu unosite isključivo na svom uređaju za novčanik — na primer, originalna Ledger aplikacija je nikada neće tražiti

Uvek proverite da li aplikacija koju instalirate dolazi od legitimnog izdavača — čak i kada se preuzima sa App Store-a; dobra praksa je proveriti linkove za preuzimanje na zvaničnom sajtu developera