Stručnjaci su identifikovali čak 26 lažnih aplikacija koje imitiraju legitimne kripto-novčanike na Apple App Store, koje nakon pokretanja preusmjeravaju korisnike na fišing stranice.
ADVERTISEMENT
Ove stranice se korisnicima predstavljaju kao App Store i nude preuzimanje aplikacija za novčanike zaražene trojanskim malverom, sposobnim da "isprazne" kripto-imovinu korisnika.
Ova kampanja je aktivna od jeseni 2025. godine i sa umjerenim stepenom pouzdanosti se pripisuje akterima prijetnji koji stoje iza SparkKitty malvera, navedeno je u izvještaju tima kompanije Kaspersky.
Svaka od ovih aplikacija imitira popularan kripto-novčanik, kopirajući vizuelni identitet ikona i koristeći slične nazive aplikacija kako bi obmanula korisnike.
Korisnici treba da obrate pažnju na aplikacije Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie.
Iako zvanične iOS aplikacije za ove kripto-novčanike nisu dostupne u kineskom iOS App Store, gotovo sve otkrivene fišing aplikacije bile su dostupne isključivo korisnicima iOS uređaja u Kini.
Međutim, same zlonamjerne aplikacije nemaju regionalna ograničenja, pa mogu pogoditi i korisnike van Kine.
Ove fišing aplikacije sadrže tzv. stub funkcionalnost - poput igara, kalkulatora ili menadžera zadataka koja služi isključivo da aplikacija djeluje legitimno.
Nakon preuzimanja i pokretanja, aplikacija otvara veb-stranicu koja imitira App Store i poziva korisnike da ponovo preuzmu željenu aplikaciju za upravljanje kriptovalutama.
Cilj je da se korisnik zbuni, jer napadači računaju na to da korisnici neće obratiti pažnju i da će dodati developerski profil na svoj uređaj, što zatim omogućava instalaciju zlonamjerne aplikacije.
Žrtve tako dozvoljavaju instalaciju developerskog profila na uređaj, što omogućava instaliranje aplikacija van App Store - uključujući i zlonamjerne aplikacije.
Kao rezultat toga, instalira se aplikacija za novčanike zaražene trojanskim malverom.
Zlonamjerne aplikacije koje su stručnjaci identifikovali prilagođene su svakom konkretnom novčaniku koji imitiraju i ciljaju i „hot“ i „cold“ novčanike.
Hot novčanik (hot wallet) čuva privatne ključeve na istom uređaju povezanom na internet na kojem je instaliran, što ga čini pogodnim za čestu upotrebu, ali i podložnijim napadima.
Cold novčanik (cold wallet) je, nasuprot tome, namjenski hardverski uređaj koji privatne ključeve čuva potpuno oflajn, žrtvujući dio praktičnosti zarad znatno veće bezbjednosti.
Kod hot novčanika, malver presreće ekran za kreiranje ili oporavak novčanika i nadgleda unos seed fraze (fraze za oporavak).
Ako korisnik unese ovu frazu, napadači dobijaju potpun pristup sredstvima.
Kod cold novčanika, taktika je drugačija.
Na primjer, servis za kripto-novčanike Ledger nudi frontend aplikaciju - mobilnu aplikaciju Ledger Wallet, kao i cold novčanik na zasebnom hardverskom uređaju koji potpisuje transakcije samo kada je fizički povezan ili uparen putem Bluetooth-a sa pametnim telefonom na kojem je instalirana aplikacija Ledger Wallet.
Originalna mobilna aplikacija za Ledger Wallet nikada ne traži seed frazu, jer se ona čuva u tzv. cold novčaniku na posebnom hardverskom uređaju.
Međutim, zlonamjerna aplikacija se oslanja na fišing i pokušava da navede korisnika da unese seed frazu.