Τεχνολογία
Η Kaspersky Threat Research εντόπισε σειρά κακόβουλων εφαρμογών στο App Store της Apple, οι οποίες προσποιούνται γνωστά crypto wallets. Μόλις ανοίξουν, κατευθύνουν τους χρήστες σε σελίδες phishing που εμφανίζονται ως επίσημες του App Store και οδηγούν στην εγκατάσταση «παραποιημένων» εκδόσεων wallets, μέσω των οποίων οι επιτήδειοι μπορούν να υποκλέψουν κρυπτονομίσματα.
Σύμφωνα με την εταιρεία, η συγκεκριμένη εκστρατεία φαίνεται να βρίσκεται σε εξέλιξη τουλάχιστον από το φθινόπωρο του 2025 και εκτιμάται —με επιφύλαξη— ότι συνδέεται με τους ίδιους δράστες που βρίσκονται πίσω από το SparkKitty.
Συνολικά εντοπίστηκαν 26 ύποπτες εφαρμογές, καθεμία από τις οποίες μιμούνταν δημοφιλή crypto wallets, αντιγράφοντας λογότυπα και χρησιμοποιώντας παρόμοιες ονομασίες για να παραπλανήσουν τους χρήστες, όπως:
Metamask
Ledger
Trust Wallet
Coinbase
TokenPocket
imToken
Bitpie
Παρότι οι επίσημες εφαρμογές για τα συγκεκριμένα wallets δεν διατίθενται στο κινεζικό App Store, σχεδόν όλες οι κακόβουλες εφαρμογές εντοπίστηκαν σε χρήστες iOS στην Κίνα. Ωστόσο, δεν υπάρχουν γεωγραφικοί περιορισμοί στη λειτουργία τους, γεγονός που σημαίνει ότι δυνητικά μπορούν να επηρεάσουν και χρήστες εκτός Κίνας.
Η Kaspersky έχει ήδη ενημερώσει την Apple για το σύνολο των ύποπτων εφαρμογών.
Οι συγκεκριμένες phishing εφαρμογές έχουν πολύ περιορισμένες λειτουργίες — όπως απλά παιχνίδια, αριθμομηχανές ή εργαλεία οργάνωσης — που υπάρχουν κυρίως για να φαίνονται αξιόπιστες.
Μόλις όμως ο χρήστης τις εγκαταστήσει και τις ανοίξει, μεταφέρεται σε μια ιστοσελίδα που μιμείται το App Store και του ζητά να κατεβάσει εκ νέου την υποτιθέμενη εφαρμογή για τη διαχείριση κρυπτονομισμάτων.
Η μέθοδος εγκατάστασης θυμίζει εκείνη του SparkKitty, του κακόβουλου λογισμικού για iOS που είχε εντοπιστεί παλαιότερα από την Kaspersky, καθώς βασίζεται σε εργαλεία που χρησιμοποιούνται κανονικά από προγραμματιστές για τη διανομή εταιρικών εφαρμογών.
Με αυτόν τον τρόπο επιχειρείται η εξαπάτηση των χρηστών, καθώς οι δράστες ποντάρουν στο ότι δεν θα δώσουν τη δέουσα προσοχή και θα αποδεχτούν την εγκατάσταση προφίλ developer στη συσκευή τους, επιτρέποντας έτσι την εγκατάσταση της κακόβουλης εφαρμογής.
Ως αποτέλεσμα της διαδικασίας, εγκαθίσταται μια έκδοση crypto wallet που έχει μολυνθεί με trojan. Οι κακόβουλες εφαρμογές που εντόπισε η Kaspersky προσαρμόζονται ανάλογα με το wallet που μιμούνται και στοχεύουν τόσο τα λεγόμενα hot όσο και τα cold wallets.
Όπως επισημαίνει ο Sergey Puzan, ειδικός σε mobile malware της Kaspersky, οι εφαρμογές που ενεργοποιούν την επίθεση μπορεί να φαίνονται ακίνδυνες, αλλά τελικά οδηγούν στην εγκατάσταση μολυσμένου λογισμικού.
Με την απόκτηση λογαριασμού developer και την καταβολή μικρού κόστους, οι δράστες μπορούν να στοχεύσουν οποιαδήποτε συσκευή iOS, αρκεί ο χρήστης να εξαπατηθεί. Οι χρήστες καλούνται να είναι ιδιαίτερα προσεκτικοί, καθώς ακόμη και συσκευές που θεωρούνται ασφαλείς, όπως τα iPhone, δεν είναι απρόσβλητες.
Μάλιστα, εκτιμάται ότι παρόμοιες trojanized εφαρμογές ενδέχεται να αυξηθούν στο μέλλον, ακολουθώντας αντίστοιχες μεθόδους διάδοσης.
