Stručnjaci su identifikovali gotovo trideset lažnih aplikacija koje imitiraju legitimne kripto-novčanike na Apple App Store, koje nakon pokretanja preusmeravaju korisnike na fišing stranice.
Ove stranice se korisnicima predstavljaju kao App Store i nude preuzimanje aplikacija za novčanike zaražene trojanskim malverom, sposobnim da "isprazne" kripto-imovinu korisnika.
Ova kampanja je aktivna od jeseni 2025. godine i sa umerenim stepenom pouzdanosti se pripisuje akterima pretnji koji stoje iza SparkKitty malvera, navedeno je u izveštaju tima kompanije Kasperski (Kaspersky).
Svaka od ovih aplikacija imitira popularan kripto-novčanik, kopirajući vizuelni identitet ikona i koristeći slične nazive aplikacija kako bi obmanula korisnike.
Korisnici treba da obrate pažnju na aplikacije Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie.
Iako zvanične iOS aplikacije za ove kripto-novčanike nisu dostupne u kineskom iOS App Store, gotovo sve otkrivene fišing aplikacije bile su dostupne isključivo korisnicima iOS uređaja u Kini.
Međutim, same zlonamerne aplikacije nemaju regionalna ograničenja, pa mogu pogoditi i korisnike van Kine.
Sve izglega ok, ali...
Ove fišing aplikacije sadrže tzv. stub funkcionalnost - poput igara, kalkulatora ili menadžera zadataka koja služi isključivo da aplikacija deluje legitimno.
Nakon preuzimanja i pokretanja, aplikacija otvara veb-stranicu koja imitira App Store i poziva korisnike da ponovo preuzmu željenu aplikaciju za upravljanje kriptovalutama.
Cilj je da se korisnik zbuni, jer napadači računaju na to da korisnici neće obratiti pažnju i da će dodati developerski profil na svoj uređaj, što zatim omogućava instalaciju zlonamerne aplikacije.
Žrtve tako dozvoljavaju instalaciju developerskog profila na uređaj, što omogućava instaliranje aplikacija van App Store - uključujući i zlonamerne aplikacije.
Kao rezultat toga, instalira se aplikacija za novčanike zaražene trojanskim malverom.
Zlonamerne aplikacije koje su stručnjaci identifikovali prilagođene su svakom konkretnom novčaniku koji imitiraju i ciljaju i „hot“ i „cold“ novčanike.
Hot novčanik (hot wallet) čuva privatne ključeve na istom uređaju povezanom na internet na kojem je instaliran, što ga čini pogodnim za čestu upotrebu, ali i podložnijim napadima.
Cold novčanik (cold wallet) je, nasuprot tome, namenski hardverski uređaj koji privatne ključeve čuva potpuno oflajn, žrtvujući deo praktičnosti zarad znatno veće bezbednosti.
Kod hot novčanika, malver presreće ekran za kreiranje ili oporavak novčanika i nadgleda unos seed fraze (fraze za oporavak).
Ako korisnik unese ovu frazu, napadači dobijaju potpun pristup sredstvima.
Kod cold novčanika, taktika je drugačija.
Na primer, servis za kripto-novčanike Ledger nudi frontend aplikaciju - mobilnu aplikaciju Ledger Wallet, kao i cold novčanik na zasebnom hardverskom uređaju koji potpisuje transakcije samo kada je fizički povezan ili uparen putem Bluetooth-a sa pametnim telefonom na kojem je instalirana aplikacija Ledger Wallet.
Originalna mobilna aplikacija za Ledger Wallet nikada ne traži seed frazu, jer se ona čuva u tzv. cold novčaniku na posebnom hardverskom uređaju.
Međutim, zlonamerna aplikacija se oslanja na fišing i pokušava da navede korisnika da unese seed frazu.
