Остерігайтеся шкідливих програм. Лабораторія досліджень кібербезпеки Kaspersky нещодавно виявила наявність 26 шкідливих програм в App Store від Apple . Ці програми імітують визнані сервіси управління цифровими активами, такі як криптогаманці, щоб викрадати кошти користувачів, і, згідно з аналізом, опублікованим 20 квітня, ця атакуюча кампанія залишається активною з осені 2025 року. Ґрунтуючись на певних показниках, експерти пов'язують цю операцію з групою SparkKitty, але наразі немає впевненості в цьому питанні. Зрештою, хоча початкові виявлення в основному стосуються користувачів у Китаї, де офіційні програми часто відсутні в регіональному магазині, загроза не має технічних географічних обмежень.
Ключові моменти цієї статті:
- Kaspersky виявила існування 26 шкідливих програм в App Store від Apple, призначених для крадіжки криптовалютних коштів користувачів.
- Атаки, які приписують групі SparkKitty, використовують методи соціальної інженерії для обходу захисту Apple.
Крадіжка криптовалюти: механізм зараження на основі соціальної інженерії
Зловмисники використовують стратегію маскування, щоб обійти засоби контролю безпеки Apple . Спочатку вони випускають програми з тривіальними функціями, такими як калькулятори, ігри або менеджери списків справ.
Ці «порожні оболонки» слугують точкою входу для встановлення довіри з користувачем. Після запуску програми вона перенаправляє жертву на фішингову сторінку , що імітує інтерфейс App Store . За словами Касперського, цей шахрайський сайт потім пропонує завантажити нібито «офіційну» версію криптогаманця для управління своїми активами.
Щоб встановити остаточне шкідливе програмне забезпечення , хакери використовують інструменти розробки, призначені для розгортання корпоративних додатків, і обманом змушують користувача додати певний профіль конфігурації до свого iPhone. Ця маніпуляція дозволяє встановлювати додатки поза стандартними процесами перевірки в магазині додатків Apple.
Приймаючи цей профіль, жертва ненавмисно дозволяє запуск троянського коня, призначеного для перехоплення конфіденційних даних. Цей метод розповсюдження обходить традиційні засоби захисту програмного забезпечення, покладаючись на навмисні, хоча й обманливі, дії користувача.
Команди Касперського б'ють на сполох кілька тижнів тому – Джерело: Account X
Ризики компромісу для гарячих та холодних портфелів
Виявлена загроза спрямована як на онлайн-рішення для зберігання даних (гарячі гаманці), так і на офлайн-апаратні пристрої (холодні гаманці). У стандартних мобільних додатках шкідливе програмне забезпечення відстежує екран створення або відновлення облікового запису. Потім воно перехоплює фразу відновлення (або основну фразу), щойно користувач її вводить.
Отримавши ці ключові слова, зловмисники отримують повний контроль над коштами та можуть безповоротно переказати їх на власні адреси. Сценарій атаки дещо відрізняється для користувачів апаратних гаманців, таких як ті, що виробляє Ledger. У цьому випадку шахрайський застосунок намагається обманом змусити користувача ввести фразу відновлення безпосередньо на телефоні.
Однак легітимні сервіси такого типу ніколи не запитують цю інформацію на мобільному інтерфейсі, оскільки вона повинна зберігатися виключно на захищеному фізичному пристрої. Цей технічний нюанс є важливим моментом, про який слід пам'ятати. Експерти наголошують, що використання профілів сторонніх розробників на особистому пристрої залишається практикою з високим рівнем ризику, незалежно від ймовірної репутації джерела.
Виявлення цих 26 додатків демонструє, що закриті системи, такі як iOS, не застраховані від скоординованих кампаній з крадіжок. Витонченість методу, який використовує SparkKitty, свідчить про те, що незабаром можуть з'явитися інші подібні інструменти. Щоб обмежити ризики, доцільно надавати перевагу посиланням для завантаження з офіційних веб-сайтів розробників, а не використовувати функцію пошуку в магазинах додатків. Захист цифрових активів зараз залежить як від обережності з незвичайними інтерфейсами, так і від надійності обраних рішень для зберігання даних.