Η Kaspersky Threat Research εντόπισε πλήθος κακόβουλων εφαρμογών που μιμούνται αυθεντικά crypto wallets στο App Store της Apple. Με το άνοιγμά τους, οι εφαρμογές ανακατευθύνουν τους χρήστες σε σελίδες phishing που υποδύονται το App Store και εγκαθιστούν τροποποιημένες (trojanized) εκδόσεις wallets, μέσω των οποίων οι δράστες μπορούν να κλέψουν κρυπτονομίσματα. Σύμφωνα με την Kaspersky, η εκστρατεία είναι ενεργή τουλάχιστον από το φθινόπωρο του 2025 και αποδίδεται, με επιφύλαξη, στους δράστες πίσω από το SparkKitty.
Οι 26 κακόβουλες εφαρμογές που εντόπισε η Kaspersky μιμούνταν καθεμία και από ένα δημοφιλές crypto wallet, αντιγράφοντας τα εικονίδια και χρησιμοποιώντας παρόμοια ονόματα εφαρμογών για να εξαπατήσουν τους χρήστες:
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Παρόλο που οι επίσημες εφαρμογές iOS για αυτά τα crypto wallets δεν είναι διαθέσιμες στο κινεζικό App Store, σχεδόν όλες οι phishing εφαρμογές που εντοπίστηκαν ήταν διαθέσιμες μόνο σε χρήστες iOS στην Κίνα. Ωστόσο, οι ίδιες οι κακόβουλες εφαρμογές δεν έχουν γεωγραφικούς περιορισμούς, επομένως θα μπορούσαν να επηρεάσουν και χρήστες που βρίσκονται εκτός Κίνας. Η Kaspersky έκανε αναφορά όλων των κακόβουλων εφαρμογών στην Apple.
Αυτές οι phishing εφαρμογές διαθέτουν ελάχιστες λειτουργίες — όπως παιχνίδια, αριθμομηχανές, εργαλεία διαχείρισης για λίστες εργασίας — οι οποίες υπάρχουν μόνο για να δίνουν την εντύπωση ότι είναι αυθεντικές. Μόλις ο χρήστης τις κατεβάσει και πατήσει εκκίνηση, τότε ανοίγει μια ιστοσελίδα που μιμείται το App Store και ζητά από τους χρήστες να κατεβάσουν εκ νέου την υποτιθέμενη εφαρμογή διαχείρισης crypto.
Η διαδικασία εγκατάστασης είναι παρόμοια με εκείνη του SparkKitty, του κακόβουλου λογισμικού για iOS που είχε εντοπίσει στο παρελθόν η Kaspersky, καθώς πραγματοποιείται μέσω ειδικών εργαλείων που χρησιμοποιούν οι προγραμματιστές για τη διανομή εταιρικών εφαρμογών. Στόχος είναι η παραπλάνηση του χρήστη, με τους επιτιθέμενους να βασίζονται στο ότι οι χρήστες δεν θα δώσουν προσοχή και θα εγκαταστήσουν προφίλ developer στη συσκευή τους, επιτρέποντας έτσι τη λήψη της κακόβουλης εφαρμογής.
Ως αποτέλεσμα, εγκαθίσταται μια εφαρμογή crypto wallet που έχει μολυνθεί με trojan. Οι κακόβουλες εφαρμογές που εντόπισε η Kaspersky προσαρμόζονται στο κάθε wallet που αντιγράφει η καθεμία και στοχεύουν τόσο τα hot όσο και τα cold wallets.
Ένα hot wallet αποθηκεύει τα ιδιωτικά κλειδιά στην ίδια συσκευή που είναι συνδεδεμένη στο διαδίκτυο, γεγονός που το καθιστά βολικό για συχνή χρήση, αλλά και πιο ευάλωτο σε επιθέσεις. Αντίθετα, ένα cold wallet αποτελεί εξειδικευμένη συσκευή hardware που διατηρεί τα ιδιωτικά κλειδιά πλήρως offline, προσφέροντας σημαντικά υψηλότερο επίπεδο ασφάλειας εις βάρος της ευκολίας. Στην περίπτωση των hot wallets, το κακόβουλο λογισμικό μπορεί να παρεμβληθεί στη διαδικασία δημιουργίας ή ανάκτησης πορτοφολιού και να υποκλέψει τις seed phrases. Εφόσον αυτές εισαχθούν, οι επιτιθέμενοι αποκτούν πλήρη πρόσβαση στα κεφάλαια των θυμάτων.
Στην περίπτωση των cold wallets, η τακτική των επιτιθέμενων διαφοροποιείται. Για παράδειγμα, η υπηρεσία της Ledger προσφέρει μια εφαρμογή frontend για smartphone (Ledger Wallet) και ένα cold wallet σε ξεχωριστή συσκευή hardware, η οποία υπογράφει συναλλαγές μόνο όταν συνδέεται με καλώδιο ή μέσω Bluetooth με τη συσκευή που φιλοξενεί την εφαρμογή. Η αυθεντική εφαρμογή δεν ζητά ποτέ τη seed phrase, καθώς αυτή αποθηκεύεται αποκλειστικά στο hardware wallet. Αντίθετα, οι κακόβουλες εφαρμογές βασίζονται σε τεχνικές phishing, επιχειρώντας να αποσπάσουν τη seed phrase από τον χρήστη.
«Παρότι οι εφαρμογές που ενεργοποιούν τον μηχανισμό της επίθεσης δεν είναι κακόβουλες από μόνες τους, οδηγούν τελικά τον χρήστη στην εγκατάσταση trojanized λογισμικού. Με την καταβολή χρηματικού ποσού και τη δημιουργία λογαριασμού developer, οι επιτιθέμενοι μπορούν να στοχεύσουν οποιαδήποτε συσκευή iOS, εφόσον ο χρήστης παραπλανηθεί μέσω phishing. Οι χρήστες καλούνται να είναι ιδιαίτερα προσεκτικοί ως προς τους κινδύνους που συνεπάγεται η διαχείριση crypto wallets ακόμη και σε συσκευές που θεωρούνται ασφαλείς, όπως τα iPhones. Εκτιμάται ότι ενδέχεται να εμφανιστούν περισσότερες trojanized εφαρμογές crypto που θα διανέμονται με παρόμοιες μεθόδους», σχολιάζει ο Sergey Puzan, Mobile Malware Expert της Kaspersky.
Περισσότερες πληροφορίες είναι διαθέσιμες στο Securelist.com. Η Kaspersky συνιστά τα εξής για μεγαλύτερη ασφάλεια:
- Να είστε προσεκτικοί όταν κλικάρετε συνδέσμους μέσα από εφαρμογές, ειδικά όταν μια σελίδα εμφανίζεται χωρίς να το περιμένετε.
- Μην προχωράτε στην εγκατάσταση προφίλ developer, εκτός αν αυτό σας παρέχεται από τον εργοδότη σας.
- Να εισάγετε τη φράση ανάκτησης μόνο στη συσκευή του wallet σας — για παράδειγμα, η αυθεντική εφαρμογή Ledger Wallet δεν θα σας τη ζητήσει ποτέ.
- Να ελέγχετε πάντα αν η εφαρμογή που εγκαθιστάτε προέρχεται από νόμιμο εκδότη — ακόμη κι αν είναι κατεβασμένη από το App Store. Είναι καλή πρακτική να επιβεβαιώνετε τους συνδέσμους λήψης από την επίσημη ιστοσελίδα του λογισμικού.
