Σύνοψη
- Η Kaspersky εντόπισε στο App Store της Apple 26 κακόβουλες εφαρμογές που μιμούνται αυθεντικά crypto wallets.
- Οι συγκεκριμένες εφαρμογές ανακατευθύνουν τους χρήστες σε σελίδες phishing που υποδύονται το App Store προκειμένου να εγκαταστήσουν trojanized εκδόσεις.
- Οι δράστες, που ενδέχεται να είναι η ομάδα πίσω από το SparkKitty, εκμεταλλεύονται την εγκατάσταση προφίλ developer για να ολοκληρώσουν την επίθεση.
- Στόχος είναι η υποκλοπή των seed phrases από hot και cold wallets, παρέχοντας στους επιτιθέμενους πλήρη πρόσβαση στα κρυπτονομίσματα.
- Παρότι η στόχευση αφορούσε κυρίως χρήστες στην Κίνα, ο κίνδυνος αφορά παγκόσμια όλους τους χρήστες iOS καθώς δεν υπάρχουν γεωγραφικοί περιορισμοί στις κακόβουλες εφαρμογές.
Η ασφάλεια στο οικοσύστημα της Apple, αν και θεωρείται παραδοσιακά από τις κορυφαίες στον χώρο της τεχνολογίας, παραμένει ευάλωτη όταν εμπλέκεται ο ανθρώπινος παράγοντας και οι τεχνικές κοινωνικής μηχανικής. Η ομάδα Kaspersky Threat Research εντόπισε πλήθος κακόβουλων εφαρμογών που μιμούνται αυθεντικά crypto wallets στο App Store της Apple, με τη συγκεκριμένη εκστρατεία να είναι ενεργή τουλάχιστον από το φθινόπωρο του 2025. Επιπλέον, αποδίδεται, με επιφύλαξη, στους δράστες πίσω από το SparkKitty.
Η Kaspersky εντόπισε 26 ψεύτικες εφαρμογές στο App Store της Apple που μιμούνται δημοφιλή crypto wallets όπως τα Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken και Bitpie. Μέσω phishing και της μεθόδου εγκατάστασης προφίλ developer, οι δράστες διανέμουν trojanized εκδόσεις αυτών των πορτοφολιών με τελικό σκοπό να υποκλέψουν κρυπτονομίσματα από τα ανυποψίαστα θύματα.
Η μεθοδολογία των επιτιθέμενων: Από το App Store στο phishing
Οι 26 κακόβουλες εφαρμογές που εντόπισε η Kaspersky μιμούνταν καθεμία και από ένα δημοφιλές crypto wallet, αντιγράφοντας τα εικονίδια και χρησιμοποιώντας παρόμοια ονόματα εφαρμογών για να εξαπατήσουν τους χρήστες. Αυτές οι phishing εφαρμογές διαθέτουν ελάχιστες λειτουργίες — όπως παιχνίδια, αριθμομηχανές, εργαλεία διαχείρισης για λίστες εργασίας — οι οποίες υπάρχουν μόνο για να δίνουν την εντύπωση ότι είναι αυθεντικές. Μόλις ο χρήστης τις κατεβάσει και πατήσει εκκίνηση, τότε ανοίγει μια ιστοσελίδα που μιμείται το App Store και ζητά από τους χρήστες να κατεβάσουν εκ νέου την υποτιθέμενη εφαρμογή διαχείρισης crypto.
Η διαδικασία εγκατάστασης είναι παρόμοια με εκείνη του SparkKitty, του κακόβουλου λογισμικού για iOS που είχε εντοπίσει στο παρελθόν η Kaspersky, καθώς πραγματοποιείται μέσω ειδικών εργαλείων που χρησιμοποιούν οι προγραμματιστές για τη διανομή εταιρικών εφαρμογών. Στόχος είναι η παραπλάνηση του χρήστη, με τους επιτιθέμενους να βασίζονται στο ότι οι χρήστες δεν θα δώσουν προσοχή και θα εγκαταστήσουν προφίλ developer στη συσκευή τους, επιτρέποντας έτσι τη λήψη της κακόβουλης εφαρμογής. Τα θύματα επιτρέπουν την εγκατάσταση ενός προφίλ developer στη συσκευή τους, το οποίο με τη σειρά του δίνει άδεια για εγκατάσταση εφαρμογών που βρίσκονται και εκτός του App Store, οι οποίες ενδέχεται να είναι κακόβουλες. Ως αποτέλεσμα, εγκαθίσταται μια εφαρμογή crypto wallet που έχει μολυνθεί με trojan. Με την καταβολή χρηματικού ποσού και τη δημιουργία λογαριασμού developer, οι επιτιθέμενοι μπορούν να στοχεύσουν οποιαδήποτε συσκευή iOS, εφόσον ο χρήστης παραπλανηθεί μέσω phishing.
Στόχευση Hot και Cold Wallets: Διαφορετικές τακτικές
Οι κακόβουλες εφαρμογές που εντόπισε η Kaspersky προσαρμόζονται στο κάθε wallet που αντιγράφει η καθεμία και στοχεύουν τόσο τα hot όσο και τα cold wallets.
- Η επίθεση στα Hot Wallets: Ένα hot wallet αποθηκεύει τα ιδιωτικά κλειδιά στην ίδια συσκευή που είναι συνδεδεμένη στο διαδίκτυο, γεγονός που το καθιστά βολικό για συχνή χρήση, αλλά και πιο ευάλωτο σε επιθέσεις. Στην περίπτωση των hot wallets, το κακόβουλο λογισμικό μπορεί να παρεμβληθεί στη διαδικασία δημιουργίας ή ανάκτησης πορτοφολιού και να υποκλέψει τις seed phrases. Εφόσον αυτές εισαχθούν, οι επιτιθέμενοι αποκτούν πλήρη πρόσβαση στα κεφάλαια των θυμάτων.
- Η προσέγγιση στα Cold Wallets: Αντίθετα, ένα cold wallet αποτελεί εξειδικευμένη συσκευή hardware που διατηρεί τα ιδιωτικά κλειδιά πλήρως offline, προσφέροντας σημαντικά υψηλότερο επίπεδο ασφάλειας εις βάρος της ευκολίας. Στην περίπτωση των cold wallets, η τακτική των επιτιθέμενων διαφοροποιείται. Για παράδειγμα, η υπηρεσία της Ledger προσφέρει μια εφαρμογή frontend για smartphone (Ledger Wallet) και ένα cold wallet σε ξεχωριστή συσκευή hardware, η οποία υπογράφει συναλλαγές μόνο όταν συνδέεται με καλώδιο ή μέσω Bluetooth με τη συσκευή που φιλοξενεί την εφαρμογή. Η αυθεντική εφαρμογή δεν ζητά ποτέ τη seed phrase, καθώς αυτή αποθηκεύεται αποκλειστικά στο hardware wallet. Αντίθετα, οι κακόβουλες εφαρμογές βασίζονται σε τεχνικές phishing, επιχειρώντας να αποσπάσουν τη seed phrase από τον χρήστη.
Γεωγραφική εξάπλωση και επίσημες προειδοποιήσεις
Παρόλο που οι επίσημες εφαρμογές iOS για αυτά τα crypto wallets δεν είναι διαθέσιμες στο κινεζικό App Store, σχεδόν όλες οι phishing εφαρμογές που εντοπίστηκαν ήταν διαθέσιμες μόνο σε χρήστες iOS στην Κίνα. Ωστόσο, οι ίδιες οι κακόβουλες εφαρμογές δεν έχουν γεωγραφικούς περιορισμούς, επομένως θα μπορούσαν να επηρεάσουν και χρήστες που βρίσκονται εκτός Κίνας. Η Kaspersky έχει ήδη προβεί σε αναφορά όλων των κακόβουλων εφαρμογών στην Apple.
Ο Sergey Puzan, Mobile Malware Expert της Kaspersky, σημειώνει χαρακτηριστικά: «Παρότι οι εφαρμογές που ενεργοποιούν τον μηχανισμό της επίθεσης δεν είναι κακόβουλες από μόνες τους, οδηγούν τελικά τον χρήστη στην εγκατάσταση trojanized λογισμικού». Επισημαίνει επίσης ότι οι χρήστες καλούνται να είναι ιδιαίτερα προσεκτικοί ως προς τους κινδύνους που συνεπάγεται η διαχείριση crypto wallets ακόμη και σε συσκευές που θεωρούνται ασφαλείς, όπως τα iPhones. Εκτιμάται ότι ενδέχεται να εμφανιστούν περισσότερες trojanized εφαρμογές crypto που θα διανέμονται με παρόμοιες μεθόδους.
Συμβουλές προστασίας από την Kaspersky
Η Kaspersky συνιστά τα εξής για μεγαλύτερη ασφάλεια:
- Να είστε προσεκτικοί όταν κλικάρετε συνδέσμους μέσα από εφαρμογές, ειδικά όταν μια σελίδα εμφανίζεται χωρίς να το περιμένετε.
- Μην προχωράτε στην εγκατάσταση προφίλ developer, εκτός αν αυτό σας παρέχεται από τον εργοδότη σας.
- Να εισάγετε τη φράση ανάκτησης μόνο στη συσκευή του wallet σας — για παράδειγμα, η αυθεντική εφαρμογή Ledger Wallet δεν θα σας τη ζητήσει ποτέ.
- Να ελέγχετε πάντα αν η εφαρμογή που εγκαθιστάτε προέρχεται από νόμιμο εκδότη — ακόμη κι αν είναι κατεβασμένη από το App Store.
- Είναι καλή πρακτική να επιβεβαιώνετε τους συνδέσμους λήψης από την επίσημη ιστοσελίδα του λογισμικού.
