شناسایی کیف‌پول‌های جعلی کریپتو برای تخلیه دارایی‌های دیجیتال در اپ استور اپل

اپ استور شهرت قوی به عنوان مکانی امن برای دانلود برنامه‌ها داشته است. در این راستا، تصور می‌شد که نرم‌افزارهای مخرب از فرایند بررسی عبور نخواهند کرد. این شهرت در آوریل ۲۰۲۶، زمانی که محققان امنیتی ۲۶ برنامه کیف پول ارز دیجیتال جعلی را در اپ استور کشف کردند، ضربه‌ای بزرگ خورد؛ علاوه بر این، یک برنامه جعلی Ledger بیش از ۹.۵ میلیون دلار را از بیش از ۵۰ نفر در کمتر از هفت روز به سرقت برد. این حوادث، یک نقص عمده در امنیت اپ استور را آشکار می‌سازد که کاربران ارزهای دیجیتال باید از آن آگاه شوند.

کمپین FakeWallet

تیم اطلاعات تهدید کسپرسکی یک عملیات بدافزاری هماهنگ به نام FakeWallet را به دقت تحلیل کرده است. این عملیات حداقل به پاییز ۲۰۲۵ برمی‌گردد و احتمالاً با همان عاملانی مرتبط است که قبلاً با SparkKitty — یک عملیات بدافزاری مبتنی بر iOS که تنها یک سال قبل گزارش شده بود — شناخته شده بودند. این برنامه‌ها به گونه‌ای طراحی شده بودند که دقیقاً شبیه به هفت کیف پول محبوب ارز دیجیتال (MetaMask، Coinbase، Ledger، Trust Wallet، TokenPocket، imToken، و Bitpie) به نظر برسند و عملکردی مشابه داشته باشند. آن‌ها ظاهر بصری و رابط‌های کاربری خود را به گونه‌ای تقلید می‌کردند که از بررسی‌های عادی عبور کنند — و عمدتاً در اپ استور iOS چین یافت شدند، جایی که به دلیل مقررات محلی، هیچ کیف پول رسمی ارز دیجیتال وجود ندارد. عاملان مخرب به دنبال سوءاستفاده از این شکاف بودند و برنامه‌های خود را به عنوان بازی/ماشین حساب ساختند تا از بررسی اولیه اپل عبور کرده و پس از نصب، به فعالیت مخرب تغییر حالت دهند.

نحوه عملکرد حمله

هنگامی که کاربران برنامه مخرب را نصب می‌کنند، این برنامه آن‌ها را به صفحه‌ای وب هدایت می‌کند که شبیه به صفحه قانونی اپ استور اپل به نظر می‌رسد و از آن‌ها درخواست می‌کند تا نسخه‌ای تروجان‌شده از یک برنامه کیف پول ارز دیجیتال را دانلود کنند. سپس صفحه از کاربر می‌خواهد یک پروفایل توسعه‌دهنده (یک روش توزیع برنامه داخلی و قانونی برای اپل) را نصب کند که پس از تأیید، یک نسخه تروجان‌شده از کیف پول ارز دیجیتال را روی گوشی کاربر نصب خواهد کرد. پس از تکمیل نصب، حمله بسته به نوع کیف پول مورد حمله، ادامه خواهد یافت.

اگر کیف پولی که قربانی استفاده می‌کند به عنوان کیف پول 'گرم' طبقه‌بندی شود، بدافزار صفحه ایجاد یا بازیابی کیف پول‌ها را رهگیری می‌کند و منتظر می‌ماند تا دقیقاً زمانی که قربانی عبارت بازیابی (seed phrase) خود را وارد می‌کند، آن را ثبت کند. اگر بدافزار بتواند عبارت بازیابی را ضبط کند (و قربانی هیچ راهی برای دانستن این که این اتفاق افتاده است نخواهد داشت)، عاملان مخرب کنترل کامل و دائمی بر کیف پول قربانی و هر چیزی که در آن کیف پول ذخیره شده است، خواهند داشت. راهی برای بازگرداندن این وضعیت وجود ندارد. بلاکچین هیچ اطلاعی از نحوه به دست آمدن کلید خصوصی ندارد.

برای کیف پول‌هایی که در دسته کیف پول 'سرد' قرار می‌گیرند، مانند Ledger، بدافزار از یک بردار حمله متفاوت برای به دست آوردن کنترل بر دارایی‌های کیف پول قربانی استفاده می‌کند. برنامه قانونی Ledger در گوشی هوشمند هرگز عبارت بازیابی را درخواست نمی‌کند و فقط با دستگاه سخت‌افزاری Ledger تعامل دارد (کلیدهای خصوصی واقعی در آن دستگاه سخت‌افزاری ذخیره می‌شوند). بدافزار یک نسخه جعلی از برنامه Ledger در گوشی هوشمند ایجاد می‌کند و مراحلی را برای اهداف تأیید ارائه می‌دهد؛ مراحل تأیید از قربانی عبارت بازیابی او را برای تکمیل فرایند تأیید درخواست خواهد کرد. این فرایند نصب به طور عمدی طراحی شده است تا از سطح اعتماد قربانی به برنامه قانونی برای به دست آوردن دسترسی امن به دارایی‌هایش سوءاستفاده کند.

عبارات بازیابی ضبط‌شده با استفاده از RSA رمزگذاری شده و به سرورهای تحت کنترل مهاجم منتقل می‌شوند. هنگامی که وجوه تخلیه شوند، بازیابی غیرممکن است.

حادثه لجر و خسارت مالی

بین ۷ تا ۱۳ آوریل، یک برنامه Ledger Live که به طور متقلبانه در اپ استور macOS ایجاد شده بود، بیش از ۵۰ قربانی مختلف را از بیش از ۹.۵ میلیون دلار کلاهبرداری کرد. سه مورد از بزرگترین ضررها شامل ۳.۲۳ میلیون دلار USDT، ۲.۰۸ میلیون دلار USDC و ۱.۹۵ میلیون دلار از انواع BTC، ETH و stETH بود. ۷.۷۶ میلیون دلار از وجوه سرقت شده از طریق ۱۵۰ آدرس واریز مجزای KuCoin منتقل شده و از طریق یک سرویس میکس کننده متمرکز به نام AudiA6 که برای مبهم کردن هرگونه ردی از فعالیت تراکنش طراحی شده بود، پولشویی شد. یکی از قربانیان گزارش داد که معادل ۵.۹ بیت کوین (۱۰ سال پس‌انداز) خود را پس از دانلود اشتباهی یک نسخه رسمی‌نما از برنامه هنگام پیکربندی رایانه جدید خود از دست داده است.

حقایق کلیدی در یک نگاه

مورد	جزئیات
نام کمپین	FakeWallet
برنامه‌های شناسایی شده	۲۶
کیف پول‌های جعل شده	MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken, Bitpie
کمپین فعال از	حداقل پاییز ۲۰۲۵
کمپین قبلی مرتبط	SparkKitty
منطقه هدف اولیه اصلی	اپ استور iOS چین
محدودیت جغرافیایی بدافزار	ندارد — در معرض خطر جهانی
برنامه‌های حذف شده توسط اپل	۲۵ از ۲۶ (قبل از انتشار)
زیان‌های جداگانه برنامه جعلی لجر	۹.۵ میلیون دلار
قربانیان در حادثه لجر	۵۰+
مسیر پولشویی وجوه سرقت شده	آدرس‌های واریز KuCoin از طریق میکسر AudiA6

آنچه کاربران باید انجام دهند

پس از افشای مسئولانه کسپرسکی، اپل ۲۵ از ۲۶ برنامه FakeWallet را قبل از انتشار تحقیقاتش حذف کرد. پس از علنی شدن گزارش سرقت، اپل برنامه جعلی Ledger برای macOS را حذف کرد.

به گفته کسپرسکی، شما نباید هیچ پروفایل توسعه‌دهنده‌ای را که توسط کارفرمای شما برای یک هدف تجاری قانونی تأیید نشده است، نصب کنید. همچنین نباید عبارت بازیابی خود را به هیچ برنامه‌ای که به طور غیرمنتظره آن را از شما درخواست می‌کند، وارد کنید، زیرا برنامه‌های کیف پول واقعی هرگز بدون استفاده از دستگاه‌های سخت‌افزاری فیزیکی خود، عبارت بازیابی را درخواست نمی‌کنند. همچنین باید ناشر هر برنامه‌ای را که دانلود می‌کنید با بررسی وب‌سایت رسمی توسعه‌دهنده تأیید کنید، چه برنامه را از اپ استور دریافت می‌کنید و چه از جای دیگر.

اپ استور از نفوذ مصون نیست. این یک واقعیت مستند و با شواهد پشتیبانی شده است، نه یک نگرانی نظری که در یک وایت پیپر امنیتی مدفون شده و اکثر کاربران آن را نمی‌خوانند.