کسپرسکی ۲۶ اپلیکیشن جعلی کیف پول ارز دیجیتال را در اپ استور اپل شناسایی کرد

شرکت امنیت سایبری Kaspersky، ۲۶ اپلیکیشن کیف پول ارز دیجیتال جعلی را در App Store اپل شناسایی کرده است. این اپ‌ها برای سرقت دارایی‌های دیجیتال کاربران طراحی شده‌اند. تیم تحقیقات تهدید این شرکت دریافت که این اپ‌ها کیف پول‌های کریپتو محبوب مانند MetaMask، Ledger، Trust Wallet، Coinbase، TokenPocket، imToken و Bitpie را تقلید می‌کنند. آن‌ها نام‌ها و هویت بصری را کپی می‌کنند تا قانونی به نظر برسند.

پس از باز شدن، این اپلیکیشن‌ها کاربران را به صفحات فیشینگ هدایت می‌کنند. این صفحات شبیه رابط App Store هستند و از کاربران می‌خواهند یک اپلیکیشن دوم را دانلود کنند. آن اپ دوم در واقع یک کیف پول تروجانیزه‌شده است که می‌تواند وجوه ارز دیجیتال را تخلیه کند.

نحوه عملکرد کلاهبرداری

Kaspersky اعلام کرد این کمپین حداقل از پاییز ۱۴۰۴ فعال بوده است. آن‌ها با اطمینان متوسط، این کمپین را به عوامل تهدید پشت SparkKitty، یک نوع بدافزار iOS که قبلاً شناسایی شده، مرتبط دانستند. نسخه‌های رسمی بسیاری از این اپ‌های کیف پول در App Store iOS چین موجود نیستند. اکثر اپ‌های فیشینگ شناسایی‌شده به‌طور خاص برای کاربران چین توزیع شدند. با این حال، بار مخرب خود شامل محدودیت‌های منطقه‌ای نمی‌شود. این اساساً به این معنی است که کاربران خارج از چین نیز می‌توانند تحت تأثیر قرار گیرند. Kaspersky تأیید کرد که تمام اپ‌های شناسایی‌شده را به اپل گزارش داده است.

بر اساس یافته‌ها، اپ‌های جعلی شامل ویژگی‌های ابتدایی و نامرتبطی مانند بازی‌ها، ماشین‌حساب‌ها یا مدیران وظایف هستند. این ویژگی‌ها ظاهر مشروعیت ایجاد می‌کنند و به اپ‌ها کمک می‌کنند بررسی اولیه را پشت سر بگذارند. پس از نصب، آن‌ها کاربران را از طریق فرآیندی راهنمایی می‌کنند که یک صفحه وب جعلی App Store را باز می‌کند. سپس کاربران را تشویق می‌کنند تا آنچه به نظر می‌رسد اپلیکیشن کیف پول مورد نظر است را دانلود کنند.

این فرآیند نصب مشابه SparkKitty عمل می‌کند. از ابزارهای توسعه‌دهنده سازمانی اپل برای توزیع اپ شرکتی استفاده می‌کند. از کاربران خواسته می‌شود یک پروفایل توسعه‌دهنده روی دستگاه خود نصب کنند. این به آن‌ها اجازه می‌دهد اپ‌هایی را از خارج از App Store نصب کنند. مهاجمان به این تکیه می‌کنند که کاربران از این مرحله چشم‌پوشی کنند، که نصب نرم‌افزار مخرب را ممکن می‌سازد.

پس از نصب، اپلیکیشن‌های کیف پول تروجانیزه‌شده رفتار کیف پول خاصی را که جعل می‌کنند تقلید می‌کنند. آن‌ها هم کیف پول‌های گرم و هم کیف پول‌های سرد را هدف قرار می‌دهند.

کارشناس بدافزار موبایل Kaspersky، Sergey Puzan، اظهار داشت که در حالی که خود اپ‌ها ممکن است حاوی کد مضر نباشند، به عنوان نقاط ورودی در یک زنجیره حمله گسترده‌تر عمل می‌کنند. این زنجیره در نهایت به نصب بدافزار منجر می‌شود. Puzan همچنین هشدار داد: «با پرداخت هزینه و راه‌اندازی یک حساب توسعه‌دهنده، مهاجمان می‌توانند هر دستگاه iOS را هدف قرار دهند اگر کاربر تسلیم تاکتیک فیشینگ شود. کاربران باید از خطرات مرتبط با مدیریت کیف پول‌های کریپتو خود حتی در دستگاه‌هایی که آن‌ها را ایمن می‌دانند، مانند آیفون‌ها، آگاه باشند. ما انتظار داریم اپ‌های کریپتو تروجانیزه‌شده بیشتری با تاکتیک مشابهی توزیع شوند.»

دستگاه Ledger تقلبی

آخرین گزارش چند روز پس از افشای یک دستگاه تقلبی Ledger Nano S Plus منتشر شد. یک محقق امنیت سایبری برزیلی این دستگاه را که از طریق یک بازار آنلاین به عنوان بخشی از یک عملیات فیشینگ پیچیده برای سرقت اطلاعات کیف پول کریپتو طراحی شده بود، فروخته‌شده یافت. دستگاه مانند یک محصول رسمی بازاریابی و قیمت‌گذاری شده بود. در ابتدا واقعی به نظر می‌رسید اما هنگام اتصال به Ledger Live تأیید را نپذیرفت.

پس از باز کردن دستگاه، محقق اجزای داخلی‌ای یافت که با سخت‌افزار قانونی مطابقت نداشتند. این شامل یک چیپ با علامت‌های پاک‌شده و آنتن‌های WiFi و Bluetooth اضافی بود که در کیف پول‌های Ledger اصل وجود ندارند. بررسی بیشتر فریم‌ور نشان داد که هم کدهای PIN و هم عبارات بازیابی به صورت متن ساده ذخیره شده‌اند. فریم‌ور همچنین حاوی ارجاعاتی به سرورهای خارجی بود. این نشان می‌داد که دستگاه برای ضبط و انتقال داده‌های حساس طراحی شده است.

محقق تأیید کرد که این حمله شامل هیچ نقصی در امنیت Ledger نمی‌شود. در عوض، از دستگاه‌های جعلی، اپ‌های مضر و ترفندهای فیشینگ برای هدف قرار دادن کاربران استفاده می‌کند.

این مطلب با عنوان Kaspersky Flags 26 Fake Crypto Wallet Apps on Apple App Store اولین بار در TheCryptoUpdates منتشر شد.