Šios netikros iOS programėlės atrodo teisėtos, tačiau nukreipia vartotojus į sukčiavimo puslapius, o tai lemia kenkėjiškų programų įdiegimą ir galimą kriptovaliutų turto vagystę.
Kibernetinio saugumo įmonė „Kaspersky“ „Apple App Store“ parduotuvėje nustatė 26 apgaulingas kriptovaliutų piniginių programėles, skirtas pavogti vartotojų skaitmeninį turtą.
Įmonės Grėsmių tyrimo komanda nustatė, kad programėlės imituoja populiarias kriptovaliutų pinigines, tokias kaip „MetaMask“, „Ledger“, „Trust Wallet“, „Coinbase“, „TokenPocket“, „imToken“ ir „Bitpie“, kopijuodamos jų pavadinimus ir vizualinę prekės ženklo išraišką, kad atrodytų teisėtos. Atidarius, šios programos nukreipia vartotojus į sukčiavimo puslapius, kurie primena „App Store“ sąsają ir ragina juos atsisiųsti antrą programą, kuri iš tikrųjų yra trojos arklių užkrėsta piniginė, galinti ištuštinti kriptovaliutų lėšas.
Kaip veikia sukčiavimas
„Kaspersky“ teigė, kad kampanija vykdoma mažiausiai nuo 2025 m. rudens ir „vidutiniu pasitikėjimu“ ją sieja su grėsmės veikėjais, susijusiais su „SparkKitty“, anksčiau nustatyta iOS kenkėjiška programa. Oficialios daugelio šių piniginių programų versijos nėra prieinamos Kinijos iOS „App Store“ parduotuvėje; dauguma aptiktų sukčiavimo programų buvo platinamos konkrečiai vartotojams Kinijoje, nors pati kenkėjiška naudingoji apkrova neturi regioninių apribojimų. Tai iš esmės reiškia, kad vartotojai už Kinijos ribų taip pat gali nukentėti. „Kaspersky“ patvirtino, kad pranešė „Apple“ apie visas nustatytas programas.
Remiantis išvadomis, apgaulingos programos apima pagrindines, nesusijusias funkcijas, tokias kaip žaidimai, skaičiuotuvai ar užduočių tvarkyklės, kad sukurtų teisėtumo įspūdį ir sėkmingai įveiktų pradinį patikrinimą. Įdiegus, jos veda vartotojus per procesą, kuris atidaro netikrą „App Store“ tinklalapį ir skatina juos atsisiųsti tai, kas atrodo esanti numatyta piniginės programa.
Šis diegimo procesas veikia panašiai kaip „SparkKitty“, naudojant „Apple“ įmonės kūrėjo įrankius, skirtus įmonės programų platinimui. Vartotojai raginami įdiegti kūrėjo profilį savo įrenginyje, o tai leidžia jiems įdiegti programas iš už „App Store“ ribų. Užpuolikai pasikliauja tuo, kad vartotojai praleidžia šį žingsnį, leisdami įdiegti kenkėjišką programinę įrangą.
Įdiegus, trojos arklių užkrėstos piniginių programos yra skirtos imituoti konkrečios piniginės, kurią jos apsimeta, elgesį. Jos taikosi tiek į „karštas“, tiek į „šaltas“ pinigines.
„Kaspersky“ mobiliųjų kenkėjiškų programų ekspertas Sergejus Puzanas pareiškė, kad nors pačios programos gali neturėti žalingo kodo, jos tarnauja kaip įėjimo taškai į platesnę atakos grandinę, kuri galiausiai veda į kenkėjiškų programų įdiegimą. Tyrėjas toliau įspėjo:
Jums taip pat gali patikti:
„Sumokėję už mokestį ir sukūrę kūrėjo paskyrą, užpuolikai gali taikytis į bet kurį iOS įrenginį, jei vartotojas pasiduoda sukčiavimo taktikai. Vartotojai turėtų būti atsargūs dėl rizikos, susijusios su kriptovaliutų piniginių valdymu net ir tuose įrenginiuose, kuriuos jie laiko saugiais, pavyzdžiui, „iPhone“. Tikimės, kad bus daugiau trojos arklių užkrėstų kriptovaliutų programų, platinamų naudojant panašią taktiką.“
Klastotės „Ledger“ įrenginys
Naujausia ataskaita pasirodė praėjus kelioms dienoms po to, kai klastotė „Ledger Nano S Plus“ įrenginys, parduotas per internetinę prekyvietę, buvo atskleistas kaip dalis sudėtingos sukčiavimo operacijos, skirtos pavogti kriptovaliutų piniginės kredencialus, kurią atliko Brazilijos kibernetinio saugumo tyrėjas. Įrenginys, kuris buvo parduodamas ir kainavo kaip oficialus produktas, iš pradžių atrodė autentiškas, tačiau nepavyko patvirtinti, kai buvo prijungtas prie „Ledger Live“.
Atidaręs įrenginį, tyrėjas rado vidinių komponentų, kurie neatitiko teisėtos aparatinės įrangos, įskaitant lustą, nuo kurio pašalinti žymėjimai, ir papildomas WiFi ir Bluetooth antenas, kurių nėra autentiškose „Ledger“ piniginėse. Tolesnis programinės aparatinės įrangos tyrimas parodė, kad tiek PIN kodai, tiek sėklų frazės buvo saugomos atviru tekstu, kartu su nuorodomis į išorinius serverius, o tai rodo, kad įrenginys buvo sukurtas fiksuoti ir perduoti slaptus duomenis.
Tyrėjas pripažino, kad ši ataka nesusijusi su jokiu „Ledger“ saugumo trūkumu, bet vietoj to naudoja netikrus įrenginius, kenkėjiškas programas ir sukčiavimo triukus, kad taikytųsi į vartotojus.
„Binance“ nemokamai 600 USD (išskirtinis „CryptoPotato“): naudokite šią nuorodą norėdami užregistruoti naują paskyrą ir gaukite 600 USD išskirtinį pasveikinimo pasiūlymą „Binance“ (išsami informacija).
RIBOTAS PASIŪLYMAS „CryptoPotato“ skaitytojams „Bybit“: naudokite šią nuorodą norėdami užsiregistruoti ir atidaryti NEMOKAMĄ 500 USD poziciją bet kuria moneta!
