Криптовалютаны ұрлауға арналған троян App Store дүкеніндегі фишингтік қосымшалар арқылы таратылады

«Касперский зертханасының» сарапшылары App Store дүкенінен танымал крипто әмияндарына еліктейтін жалған қосымшаларды тапты. Зиянкестер оларды жем ретінде пайдаланады: Егер сіз осындай бағдарламаны жүктесеңіз, ол пайдаланушыны фишингтік бетке бағыттайды, онда оған «қажетті» қосымшаны қайта жүктеу ұсынылады. Шын мәнінде, шабуылдаушылар крипто әмияндарының трояндық нұсқаларын осылай таратады. Табылған үлгілердің метадеректеріне сәйкес, науқан кем дегенде 2025 жылдың күзінен бастап белсенді болды. Оның артында SparkKitty шабуылдарына жауапты зиянкестер тұр. Барлық анықталған зиянды қосымшалар туралы «Касперский зертханасы» Apple компаниясына хабарлады.

Троян құрылғыға қалай түседі. Сарапшылар MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken және Bitpie сияқты танымал крипто әмияндарына еліктейтін 26 жалған қосымшаны тапты. Мұндай қосымшаларды заңды етіп көрсету және күдік туғызбау үшін шабуылдаушылар түпнұсқа визуалды элементтерді — белгішелер мен атауларды көшіріп, оларға аша функцияларын: ойындар, калькулятор, тапсырмалар менеджерлерін қосты.

Орнатқаннан және іске қосқаннан кейін бағдарлама қолданушының браузерінде App Store-ға еліктейтін фишингтік бетті ашады, онда оған криптовалютаны басқару үшін «қажетті» қосымшаны қайта жүктеу ұсынылады. Шын мәнінде, мұндай беттер арқылы крипто әмияндарының трояндық нұсқалары таратылады.

Зиянды бағдарламаны орнату механизмі бұрын сипатталған SparkKitty науқанына ұқсас: шабуылдаушылар кәсіпорын қолданбаларын тарату үшін әзірлеуші құралдарын пайдаланады. Пайдаланушының сенімділігіне сүйене отырып, олар оны құрылғыға әзірлеуші профилін орнатуға шақырады, бұл болашақта зиянды қосымшаны жүктеуге мүмкіндік береді.

Қаражатты ұрлау қалай жүреді. Зиянкестер зиянды жүктемені крипто-әмиянның нақты қосымшаларына бейімдейді, сонымен қатар әмиянның түріне байланысты ұрлаудың әртүрлі ыстық немесе суық әдістерін қолданады. Ыстық әмиян-бұл жеке кілттерді орнатылған құрылғыда сақтайтын және Интернетке қол жеткізе алатын қосымша. Суық әмиян-жеке кілттерді толығымен офлайн режимінде сақтайтын жеке аппараттық құрал.

Ыстық әмияндар жағдайында зиянды әмиянды құру немесе қалпына келтіру экранын бақылайды және жарықдиодты фразаны ұстайды. Егер пайдаланушы оны енгізсе, шабуылдаушылар қаражатқа толық қол жеткізе алады.

Суық крипто әмияндарының иелерінен деректерді тарту қиынырақ, сондықтан зиянкестер неғұрлым күрделі әдістерге сүйенеді. Мысалы, Ledger қызметі транзакцияларға қол қоятын аппараттық құралмен байланыстырылған мобильді қосымшаны пайдалануды қамтиды. Ресми қолданба ешқашан жарықдиодты сөйлемді сұрамайды-оны әмиян құрылғысының өзіне енгізу керек. Бұл ақпаратты алу үшін зиянкестер фишингке жүгінеді — пайдаланушыдан «қауіпсіздікті тексеруді» талап етеді және ол үшін жарықдиодты сөйлемді енгізеді.

Науқан кімге бағытталған. Табылған фишингтік қосымшалардың барлығы дерлік қытайлық App Store сегментінің пайдаланушыларына қол жетімді болды, онда осы крипто әмияндардың ресми iOS қосымшалары жоқ. Бұл науқан ең алдымен Қытайдан келген пайдаланушыларға бағытталғанын көрсетеді. Сонымен қатар, зиянды модульдердің өзінде аймақтық шектеулер жоқ, сондықтан басқа елдердегі пайдаланушылар ықтимал құрбан болуы мүмкін.

«Біз тапқан жалған қосымшалардың өзі зиянды емес, бірақ олар пайдаланушының сенімін қалыптастыруда және троянды оның құрылғысына жеткізуде маңызды буын болып табылады. Кәсіпорын қосымшаларын орнатуға арналған Механизм шабуылдаушыларға бағдарламалық жасақтаманы кез-келген iOS құрылғысына таратуға мүмкіндік береді — егер соңғы пайдаланушы фишингке түссе. Жүктелген қосымшаны әрқашан ресми әзірлеуші шығарғанын тексеріп, қосымша қосымшаларды, конфигурация файлдарын немесе әзірлеуші профильдерін, әсіресе бейтаныс сайттардан орнатпау керек. Біз болашақта ұқсас схеманы қолдана отырып, криптовалютаны ұрлауға арналған басқа қосымшалар пайда болуы мүмкін деп болжаймыз», — деп түсіндіреді Касперский зертханасының киберқауіпсіздік жөніндегі сарапшысы Сергей Пузан.

«Касперский зертханасының» шешімдері осы қауіптен қорғайды және троянды келесі үкімдермен анықтайды: HEUR:Trojan PSW.IphoneOS.FakeWallet.*, HEUR:Trojan.IphoneOS.FakeWallet.*.

» Касперский зертханасы »  тәуекелдерді азайту үшін пайдаланушыларға келесідей кеңес береді:

* смартфонға сенімді қорғаныс* шешімін орнатыңыз*;

* егер оларды сіздің жұмыс берушіңіз ұсынбаған болса, әзірлеуші профильдерін орнатпаңыз;

* қосымшаларды тек ресми көздерден жүктеңіз: модерацияның арқасында мұндай дүкендерде зиянды бағдарламаға тап болу қаупі төмен. Сонымен қатар, ресми сторларда да мұқият болған жөн: күмәнді қосымшаларды жүктемеңіз, бағдарламалардың рейтингіне, пікірлеріне және әзірлеушісіне назар аударыңыз;;

* қолданбаны орнатпас бұрын, тіпті ресми дүкеннен де, әзірлеушінің ресми сайтына кіріп, қосымшаларға сілтемелерді салыстырыңыз, App Store дүкенінде осы баспагерден тағы қандай қосымшалар бар екенін көріңіз.