Стручњаци су идентификовали чак 26 лажних апликација које имитирају легитимне крипто-новчанике на Apple App Store, које након покретања преусмеравају кориснике на фишинг странице.
Ове странице се корисницима представљају као App Store и нуде преузимање апликација за новчанике заражене тројанским малвером, способним да „испразне“ крипто-имовину корисника.
Ова кампања је активна од јесени 2025. године и са умереним степеном поузданости се приписује актерима претњи који стоје иза SparkKitty малвера, наведено је у извештају тима компаније Касперскy.
Свака од ових апликација имитира популаран крипто-новчаник, копирајући визуелни идентитет икона и користећи сличне називе апликација како би обманула кориснике.
Корисници треба да обрате пажњу на апликације Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie.
Иако званичне iOS апликације за ове крипто-новчанике нису доступне у кинеском iOS App Store, готово све откривене фишинг апликације биле су доступне искључиво корисницима iOS уређаја у Кини.
Међутим, саме злонамерне апликације немају регионална ограничења, па могу погодити и кориснике ван Кине.
Ове фишинг апликације садрже тзв. стуб функционалност – попут игара, калкулатора или менаџера задатака која служи искључиво да апликација делује легитимно.
Након преузимања и покретања, апликација отвара веб-страницу која имитира App Store и позива кориснике да поново преузму жељену апликацију за управљање криптовалутама.
Циљ је да се корисник збуни, јер нападачи рачунају на то да корисници неће обратити пажњу и да ће додати девелоперски профил на свој уређај, што затим омогућава инсталацију злонамерне апликације.
Жртве тако дозвољавају инсталацију девелоперског профила на уређај, што омогућава инсталирање апликација ван App Store – укључујући и злонамерне апликације.
Као резултат тога, инсталира се апликација за новчанике заражене тројанским малвером.
Злонамерне апликације које су стручњаци идентификовали прилагођене су сваком конкретном новчанику који имитирају и циљају и „hot“ и „cold“ новчанике.
Хот новчаник (hot wallet) чува приватне кључеве на истом уређају повезаном на интернет на којем је инсталиран, што га чини погодним за честу употребу, али и подложнијим нападима.
Cold новчаник (cold wallet) је, насупрот томе, наменски хардверски уређај који приватне кључеве чува потпуно офлајн, жртвујући део практичности зарад знатно веће безбедности.
Код хот новчаника, малвер пресреће екран за креирање или опоравак новчаника и надгледа унос сеед фразе (фразе за опоравак).
Ако корисник унесе ову фразу, нападачи добијају потпун приступ средствима.
Код cold новчаника, тактика је другачија.
На пример, сервис за крипто-новчанике Ledger нуди фронтенд апликацију – мобилну апликацију Ledger Wallet, као и cold новчаник на засебном хардверском уређају који потписује трансакције само када је физички повезан или упарен путем Bluetooth-а са паметним телефоном на којем је инсталирана апликација Ledger Wallet.
Оригинална мобилна апликација за Ledger Wallet никада не тражи сеед фразу, јер се она чува у тзв. cold новчанику на посебном хардверском уређају.
Међутим, злонамерна апликација се ослања на фишинг и покушава да наведе корисника да унесе seed фразу.
