FakeWallet-кампания: 26 поддельных криптокошельков в App Store крали seed-фразы пользователей

Apple проверяет приложения на момент публикации, но не отслеживает изменения кода после одобрения. Атакующие публиковали безобидное приложение, затем через обновление подгружали вредоносный payload с удалённого сервера — уже после прохождения ревью. Часть аккаунтов разработчиков была куплена у реальных владельцев. Модерация проверяла функциональность, а не сетевые запросы к внешним C2-серверам. Обнаружить подмену пользователь без сниффинга трафика не мог.

Приложение отправляет мнемонику (12 или 24 слова) на сервер злоумышленников по зашифрованному HTTPS-каналу — внешне запрос неотличим от легитимного. Seed-фраза даёт полный контроль над всеми адресами кошелька во всех сетях. Средства выводятся автоматически скриптами-свиперами в течение секунд после получения фразы. Блокчейн-транзакции необратимы: ни биржа, ни разработчик кошелька не могут отменить перевод или вернуть активы. Единственная защита — не вводить seed-фразу в приложения, установленные не из официального источника.

Проверяйте четыре параметра: ID разработчика в App Store (MetaMask — ConsenSys, Trust Wallet — Six Days LLC, Coinbase Wallet — Coinbase Inc.), дату публикации (подделки появлялись за 1–4 недели до обнаружения), количество и дату отзывов (поддельные имеют сотни пятизвёздочных отзывов за один день), точность иконки и написание названия (FakeWallet-приложения использовали символы Unicode для замены букв). Официальные ссылки на приложения публикуются только на metamask.io, trustwallet.com, coinbase.com/wallet.

По данным Kaspersky Securelist, троян собирал расширенный профиль: приватные ключи при импорте существующего кошелька, буфер обмена (адреса для подмены получателя), локальные файлы хранилища приложения (keystore JSON), модель устройства и версию iOS для таргетирования. Часть модификаций FakeWallet содержала оверлей-экран, визуально совпадающий с оригинальным интерфейсом, — пользователь видел «успешный импорт» и не подозревал о компрометации до вывода средств.

Да. Параллельная кампания охватывала Android (Google Play и сторонние APK), фишинговые сайты с редиректом на скачивание и Telegram-боты с «эксклюзивными» ссылками на «обновлённую версию» кошелька. iOS-версия привлекла внимание исследователей именно потому, что App Store считается более закрытой платформой. Сторонние APK в принципе несут дополнительный риск: пользователь видит запрошенные разрешения лишь при установке, а не при каждом обновлении. Для Android рекомендация та же: устанавливать только по ссылке с официального сайта проекта.

Действуйте немедленно: создайте новый кошелёк в заведомо чистом приложении (скачанном напрямую с сайта разработчика), переведите все активы на новый адрес до того, как свипер-скрипт опередит вас. Параллельно удалите скомпрометированное приложение и измените пароли всех аккаунтов, связанных с тем же устройством. Зафиксируйте транзакцию вывода через Etherscan или аналогичный блокчейн-обозреватель — для возможного обращения в правоохранительные органы. Средства, уже выведенные злоумышленником, вернуть технически невозможно.

Перед установкой проверьте хеш IPA-файла (если скачиваете вне App Store) или воспользуйтесь сервисом VirusTotal для APK. Для App Store прямой проверки кода нет, поэтому единственная надёжная защита — верификация разработчика и источника ссылки. Kaspersky Mobile Security и аналоги могут обнаружить известные FakeWallet-образцы после установки.