Kasperskyの報告によると、iOSユーザーを標的とした20個以上の偽の暗号資産アプリケーションがApple App Storeに公開されています。
FakeWalletという名称の悪質なキャンペーンは、少なくとも2025年秋から続いており、ユーザーの復旧フレーズと秘密鍵を盗むことに焦点を当てています。
Kasperskyによると、これらのアプリは3月に初めて発見され、中国のApp Storeの検索結果に頻繁に表示されるようになりました。
中国の規制により多くの公式ウォレットアプリケーションが現在ユーザーが利用できないため、脅威アクターはタイポスクワッティングを使用してこれらの名前とアイコンを模倣し、ユーザーが正規のソフトウェアをダウンロードしていると思い込ませようとしました。
一部のアプリは暗号資産関連の名前やアイコンを使用していませんでしたが、App Storeで利用できない公式ウォレットにアクセスするためにアプリをダウンロードするようユーザーを促すバナーを表示していました。
Kasperskyは、Bitpie、Coinbase、imToken、Ledger、MetaMask、TokenPocket、Trust Walletなどの主要ウォレットを模倣した合計26個のフィッシングアプリケーションを特定しました。
さらに、サイバーセキュリティ企業は、フィッシング機能を含まないが同じ脅威アクターにリンクされた他のいくつかのアプリケーションを特定しました。
「悪質な機能は単に将来のアップデートで有効化されるのを待っていた可能性が高い」とKasperskyは述べています。
フィッシングアプリケーションは、ユーザーが感染した暗号資産ウォレットのバージョンをインストールするように騙すために、ブラウザでリンクを開くように設計されました。悪質なコードは通常ライブラリを介して配信されていましたが、場合によってはウォレットのソースコードに直接注入されていました。
コード分析により、ユーザーの復旧フレーズとシードフレーズを収集する機能、およびユーザーがホットウォレットを復旧しようとするときにアプリが呼び出すメソッドをハイジャックする機能の存在が明らかになりました。さらに、アプリケーションは2つのLedger埋め込みを通じてコールドウォレットを標的にしていることが判明しました。
Kasperskyは公式Ledgerサイトを模倣するウェブサイトがこれらのアプリケーションへのリンクをホストしていることを特定しました。また、Play Storeを通じてではなく中国語のフィッシングページを通じて配布された侵害されたAndroidウォレットアプリも特定しました。
サイバーセキュリティ企業によると、アプリは中国語話者を標的にしているように見えますが、悪質なモジュールには組み込みの地域制限がなく、一部のフィッシング通知はアプリの言語に適応するように見られており、中国外のユーザーも標的になる可能性があることを示唆しています。
FakeWalletキャンペーンの責任者である脅威アクターは、配布技術、暗号資産ウォレットへの焦点、悪質なモジュール内の中国語ログメッセージ、およびいくつかのアプリケーション内のSparkKittyモジュールの存在に基づいて、昨年6月に発見されたSparkKittyマルウェアにリンクしているように見えます。
Appleは通知されており、悪質なアプリの削除を開始しています。
翻訳元: https://www.securityweek.com/dozens-of-malicious-crypto-apps-land-in-apple-app-store/
