В App Store нашли десятки фишинговых приложений для кражи криптовалют

За март 2026 года в App Store нашли 26 фишинговых приложений, которые копировали популярные криптокошельки и использовались для кражи фраз восстановления или приватных ключей. Специалисты «Лаборатории Касперского» пояснили, что кампания идёт с осени 2025 года. Обо всех опасных находках сообщили в Apple, к настоящему моменту некоторые приложения уже удалены.

Подобную схему исследователи ESET уже выявляли в 2022 году, когда заражённые криптокошельки нашли на фишинговых сайтах. Злоумышленники использовали provisioning-профили для установки приложений, похитив таким образом фразы из MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken и OneKey. Спустя четыре года схема работает с новыми модулями и способами распространения.

В актуальной схеме в фишинговых приложениях присутствуют «заглушки», которые имитируют работу настоящего сервиса. Их присутствие создаёт видимость легитимности. При запуске приложение открывает вредоносную ссылку в браузере, через которую на устройство можно установить заражённый кошелёк. Для этого, как и в более ранней версии схемы, используют provisioning-профили.

Злоумышленники создали множество версий вредоносных модулей, каждый из которых нацелен на свой кошелёк. В большинстве случаев вредоносный код встраивали через инъекцию библиотеки. Однако исследователи обнаружили также модификации исходного кода.

Вредоносный метод сканирует экран в поисках мнемоник — слов из фразы восстановления криптокошелька. Троян извлекает их, шифрует и отправляет на сервер злоумышленников. Мнемоники собирают в строку, шифруют её алгоритмом RSA по схеме PKCS #1 и кодируют результат в Base64. Закодированные данные с дополнительной информацией отправляют на сервер. В одних модификациях адрес сервера встроен в файл. В других его загружают из конфигурации в папке приложения.