Pekeng Crypto Wallets na Dinisenyo para Agad Kunin ang Digital Assets Natukoy sa Apple App Store
ra****@gmail.com2026-05-07
Natuklasan ng Kaspersky ang 26 pekeng crypto wallet app sa iOS App Store na nagnanakaw ng seed phrases. Isang hiwalay na pekeng Ledger app ang kumuha ng $9.5M mula sa mahigit 50 biktima sa loob ng wala pang isang linggo gamit ang AudiA6 mixer.
Ang App Store ay nagkaroon ng matatag na reputasyon bilang isang ligtas na lugar para sa pag-download ng mga app. Kaugnay nito, pinaniniwalaan na ang masamang software ay hindi makakalusot sa proseso ng pagsusuri. Ang reputasyong ito ay lubhang nabawasan noong Abril 2026 nang matuklasan ng mga mananaliksik sa seguridad ang 26 na mapanlinlang na cryptocurrency wallet app sa App Store; bukod pa rito, isang pekeng Ledger app na nagnakaw ng mahigit 9.5 milyong dolyar mula sa mahigit 50 tao sa loob ng wala pang pitong araw. Ang mga insidenteng ito ay naglalantad ng malaking kakulangan sa seguridad ng App Store na dapat malaman ng mga gumagamit ng cryptocurrency.
Ang Kampanya ng FakeWallet
Masusing sinuri ng Threat Intelligence team ng Kaspersky ang isang koordinadong operasyon ng malware na tinatawag na FakeWallet. Ang operasyong ito ay masusubaybayan pabalik sa pinakamaagang panahon ng Taglagas 2025 at malamang na nauugnay sa parehong mga aktor na dating kilala sa SparkKitty — isang operasyon ng malware na batay sa iOS na iniulat isang taon lang bago nito. Ang mga app ay idinisenyo upang magmukhang eksakto at kumilos tulad ng pitong magkakaibang sikat na cryptocurrency wallet (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken, at Bitpie). Ginaya nila ang visual na hitsura at inayos ang kanilang mga interface upang makalusot sa kaswal na pagsusuri — at natagpuan sila pangunahin sa Chinese iOS App Store, kung saan walang opisyal na cryptocurrency wallet dahil sa mga lokal na regulasyon. Tinangka ng mga malisyosong aktor na samantalahin ang kakulangang ito sa pamamagitan ng paglikha ng kanilang mga aplikasyon bilang mga laro/calculator upang makalusot sa unang pagsusuri ng Apple at lumipat sa malisyosong aksyon kapag na-install.
Paano Gumagana ang Pag-atake
Kapag na-install na ng mga user ang malisyosong app, ire-redirect sila nito sa isang web page na idinisenyo upang magmukhang lehitimong pahina ng Apple App Store, na hinihiling sa kanila na i-download ang talagang isang bersyong may Trojan ng isang crypto wallet application. Hinihimok ng pahina ang user na mag-install ng isang developer profile (isang lehitimo, panloob na pamamaraan ng pamamahagi ng app para sa Apple) na, kapag naaprubahan, ay mag-i-install ng bersyong may Trojan ng isang crypto wallet sa telepono ng user. Matapos makumpleto ang pag-install, magpapatuloy ang pag-atake depende sa uri ng wallet na inaatake.
Kung ang wallet na ginagamit ng biktima ay nauuri bilang isang 'hot' wallet, sasagapin ng malware ang screen ng paglikha o pagbawi ng mga wallet, naghihintay na makuha kung kailan eksaktong ipapasok ng biktima ang kanyang seed phrase. Kung makukuha ng malware ang seed phrase (at walang paraan ang biktima upang malaman na ito ay nakuha), magkakaroon ang mga malisyosong aktor ng ganap at permanenteng kontrol sa wallet ng biktima at lahat ng nakaimbak dito. Walang paraan upang baligtarin ito. Walang ideya ang blockchain kung paano nakuha ang private key.
Para sa mga wallet na nasa kategoryang 'cold' wallet, tulad ng Ledger, gagamit ang malware ng ibang pamamaraan ng pag-atake upang makakuha ng kontrol sa mga asset ng wallet ng biktima. Ang lehitimong Ledger smartphone application ay hindi kailanman humihingi ng mga seed phrase at nakikipag-ugnayan lamang sa Ledger hardware device (ang aktwal na mga private key ay nakaimbak sa hardware device na iyon). Ang malware ay gagawa ng pekeng bersyon ng Ledger smartphone application at magbibigay ng mga hakbang para sa layunin ng pagpapatunay; hihingi ang mga hakbang ng pagpapatunay ng seed phrase ng biktima upang makumpleto ang proseso ng pagpapatunay. Ang proseso ng pag-install na ito ay sadyang idinisenyo upang samantalahin ang antas ng tiwala ng biktima sa lehitimong aplikasyon upang makakuha ng ligtas na access sa kanilang mga asset.
Ang mga nakuhang seed phrase ay naka-encrypt gamit ang RSA at ipinapadala sa mga server na kontrolado ng umaatake. Kapag naubos na ang pondo, hindi na posible ang pagbawi.
Ang Insidente ng Ledger at ang Pinsalang Pinansyal
Sa pagitan ng Abril 7–13, isang mapanlinlang na ginawang Ledger Live application sa macOS App Store ang nandaraya sa mahigit 50 iba't ibang biktima ng mahigit $9.5 milyong kabuuang halaga. Ang tatlong pinakamalaking pagkalugi ay binubuo ng $3.23 milyon sa USDT, $2.08 milyon sa USDC, at $1.95 milyon sa pinagsamang uri ng BTC, ETH, at stETH. $7.76 milyon ng mga ninakaw na pondo ay inilipat sa pamamagitan ng 150 magkakaibang KuCoin deposit address at nilabhan sa pamamagitan ng isang sentralisadong serbisyo ng paghahalo na tinatawag na AudiA6 na idinisenyo upang itago ang anumang bakas ng aktibidad ng transaksyon. Isang biktima ang nag-ulat ng pagkawala ng katumbas ng 5.9 BTC (10 taon ng ipon) matapos aksidenteng mag-download ng isang opisyal na bersyon ng aplikasyon habang kino-configure ang kanyang bagong computer.
Mahahalagang Katotohanan sa Isang Sulyap
Ano ang Dapat Gawin ng mga User
Kasunod ng responsableng paglalantad ng Kaspersky, inalis ng Apple ang 25 sa 26 na aplikasyon ng FakeWallet bago ang paglalathala ng kanilang pananaliksik. Matapos isapubliko ang ulat ng pagnanakaw, inalis ng Apple ang mapanlinlang na macOS Ledger application.
Ayon sa Kaspersky, hindi ka dapat mag-install ng anumang developer profile na hindi awtorisado ng iyong employer para sa lehitimong layunin ng negosyo. Hindi mo rin dapat ipasok ang iyong seed phrase sa anumang app na humihingi nito nang hindi inaasahan dahil ang mga aktwal na application ng wallet ay hindi kailanman hihingi ng seed phrase nang walang paggamit ng kanilang pisikal na hardware device. Dapat mo ring i-verify ang publisher ng bawat application na iyong ida-download sa pamamagitan ng pagsuri sa opisyal na website ng developer bago i-download ang application, kung nakukuha mo man ang application mula sa App Store.
Hindi ligtas ang App Store sa kompromiso. Ito ay isang mahusay na dokumentadong katotohanan na sinusuportahan ng ebidensya, hindi isang teoretikal na pag-aalala na nakabaon sa loob ng isang security white paper na hindi binabasa ng karamihan sa mga user.
