СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 03:22
#ИБ

Фишинговые кошельки в App Store крадут криптоключи

В March 2026 года в App Store была обнаружена кампания с участием более двух десятков applications, выдающих себя за популярные cryptocurrency wallets. Цель атаки — users в China, а ключевая задача злоумышленников — кража recovery phrases и private keys через поддельные интерфейсы и вредоносные загрузки.

По данным отчета, эта активность повторяет тактику, впервые замеченную еще в 2022 году, но теперь использует более sophisticated malware и более точные методы distribution. В частности, злоумышленники применяют typosquatting — похожие названия и icons, чтобы ввести пользователей в заблуждение и создать видимость легитимности.

Как работает схема

Вредоносные приложения используют Apple provisioning profiles, включая corporate profiles, которые позволяют устанавливать unauthorized applications в обход типичных ограничений App Store. После запуска такого приложения пользователь перенаправляется на malicious website, где ему предлагается загрузить trojanized versions of wallets.

Сами вредоносные компоненты могут различаться, однако наиболее распространенный подход — внедрение malicious libraries в legitimate apps. Для этого злоумышленники изменяют loading commands в основном executable file, встраивая вредоносный код в привычную для пользователя структуру приложения.

Техника injection и кража данных

Отчет описывает механизм, при котором code fragments управляют поведением исходных methods приложения. В частности, злоумышленники настраивают сбор вводимых mnemonic phrases, а затем перехватывают их и передают на command-and-control server, или C2.

Один из способов реализации атаки — инициализация libraries, подключающихся к существующим функциям приложения. Это позволяет извлекать пользовательский input из forms и незаметно отправлять данные злоумышленникам.

Украденные фразы дополнительно шифруются с использованием RSA и кодируются в Base64. Такая связка применяется для сокрытия следов и упрощения передачи данных.

Нацеливание как на hot wallets, так и на cold wallets

Изначально подобные кампании чаще фокусировались на hot wallets — то есть кошельках, способных обеспечить немедленный доступ к crypto assets без дополнительного участия пользователя. Однако в новой кампании злоумышленники адаптировали phishing methods и против владельцев cold wallets.

Для этого создаются убедительные phishing notifications, визуально имитирующие экраны legitimate applications. Такой подход повышает вероятность того, что пользователь воспримет сообщение как штатное системное уведомление и введет sensitive data.

Мультиплатформенность и реакция на защитные механизмы

Вредоносное ПО способно работать на разных platforms за счет modified source code, особенно в wallets на базе React Native. Это делает угрозу более гибкой и менее заметной для средств обнаружения, поскольку вредоносные элементы маскируются под часть legitimate app ecosystem.

По оценке авторов отчета, подобная адаптивность показывает, что злоумышленники стремятся обходить защитные механизмы, сохраняя при этом максимальную похожесть на официальные приложения.

Возможная атрибуция и языковые следы

Атрибуция кампании указывает на возможную связь с предыдущими создателями malware, вероятно, работающими в Chinese-language context. На это, в частности, указывают сообщения журнала на Chinese в коде вредоносного ПО.

Хотя такая привязка не является окончательным доказательством, она дает важные ориентиры для дальнейшего analysis и расследования инфраструктуры угрозы.

Почему эта кампания опасна

Особую опасность представляет то, что phishing applications распространяются через легкодоступные каналы App Store, что снижает бдительность пользователей. Многие воспринимают сам факт присутствия приложения в официальном магазине как признак безопасности, и именно на этом строится расчет злоумышленников.

Дополнительную сложность создают technical limitations, присущие iOS, которые мешают расследованию и своевременному смягчению подобных threats.

Тактика, применяемая в этой кампании, демонстрирует продолжающуюся эволюцию cyber threats в сфере cryptocurrency.

Что важно знать пользователям

  • Проверять точное название приложения и разработчика перед установкой.
  • Осторожно относиться к приложениям с похожими icons и suspicious branding.
  • Не переходить по external links из непроверенных сообщений и уведомлений.
  • Никогда не вводить recovery phrases и private keys в приложениях, происхождение которых вызывает сомнения.
  • Использовать дополнительные меры защиты и сохранять повышенную внимательность при работе с cryptocurrency wallets.

На фоне этой кампании эксперты вновь подчеркивают: даже официальный app marketplace не гарантирует полной безопасности. Для пользователей crypto ecosystem ключевым фактором остается постоянная осторожность и проверка каждого приложения перед установкой и использованием.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: