蘋果應用商店發現專為掏空數位資產設計的假加密錢包

App Store 在應用程式下載方面一直享有良好的聲譽。因此，人們普遍認為惡意軟體無法通過其審核過程。然而，在 2026 年 4 月，當安全研究人員在 App Store 上發現 26 個詐騙性加密貨幣錢包應用程式時，這一聲譽遭受了巨大打擊；此外，一個假冒的 Ledger 應用程式在不到七天的時間內從 50 多人手中竊取了超過 950 萬美元。這些事件暴露了 App Store 安全方面的一個重大缺陷，加密貨幣用戶應當知曉。

FakeWallet 行動

Kaspersky 的威脅情報團隊已密切分析了一項名為 FakeWallet 的協同惡意軟體行動。此行動最早可追溯至 2025 年秋季，並很可能與一年前報告的 iOS 惡意軟體行動 SparkKitty 的同一批行動者相關聯。這些應用程式的設計在外觀和功能上與七種不同的流行加密貨幣錢包（MetaMask、Coinbase、Ledger、Trust Wallet、TokenPocket、imToken 和 Bitpie）完全相同。它們模仿了視覺外觀並佈置了界面，以便能通過一般審查——它們主要在中國 iOS App Store 上被發現，由於當地法規，該地區沒有官方的加密貨幣錢包。惡意行動者試圖利用這個漏洞，將其應用程式偽裝成遊戲或計算器來通過 Apple 的初步審核，並在安裝後轉為惡意行為。

攻擊手法

一旦用戶安裝了惡意應用程式，它會將他們重新導向至一個網頁，該網頁偽裝成合法的 Apple App Store 頁面，要求他們下載一個實際上是木馬化版本的加密貨幣錢包應用程式。該頁面隨後會提示用戶安裝一個 開發者描述檔（這是 Apple 合法的內部應用程式分發方法），一旦批准，便會在用戶手機上安裝一個木馬化版本的加密貨幣錢包。安裝完成後，攻擊將根據所攻擊錢包的類型進行。

如果受害者使用的錢包被歸類為「熱錢包」，惡意軟體將攔截錢包的創建或恢復介面，等待精確捕捉受害者輸入助記詞的時刻。如果惡意軟體能夠捕獲助記詞（而受害者對此毫無察覺），惡意行動者將對受害者的錢包及其內部存儲的所有內容擁有完全且永久的控制權。這種情況無法逆轉。區塊鏈無法知道私鑰是如何取得的。

對於屬於「冷錢包」類別的錢包，例如 Ledger，惡意軟體將使用不同的攻擊途徑來取得受害者錢包資產的控制權。合法的 Ledger 智慧型手機應用程式從不要求助記詞，且僅與 Ledger 硬體裝置互動（實際的私鑰存儲在該硬體裝置上）。惡意軟體將創建一個假冒版本的 Ledger 智慧型手機應用程式，並提供驗證步驟；這些驗證步驟會要求受害者輸入助記詞以完成驗證過程。這種安裝過程是刻意設計來濫用受害者對合法應用程式的信任，從而竊取其資產。

捕獲到的助記詞會使用 RSA 加密並傳輸到攻擊者控制的伺服器。一旦資金被盜取，將無法恢復。

Ledger 事件與財務損失

在 4 月 7 日至 13 日期間，macOS App Store 上一個詐騙性創建的 Ledger Live 應用程式詐騙了 50 多名不同的受害者，總價值超過 950 萬美元。其中三筆最大的損失包括 323 萬美元的 USDT、208 萬美元的 USDC，以及 195 萬美元的比特幣、以太幣和 stETH 組合。776 萬美元的被盜資金通過 150 個獨立的 KuCoin 充值地址轉移，並通過名為 AudiA6 的中心化混幣服務進行洗錢，該服務旨在混淆任何交易活動的痕跡。其中一名受害者報告稱，在設定新電腦時誤下載了看似官方版本的應用程式後，損失了相當於 5.9 個比特幣（10 年的積蓄）。

重要事實一覽

用戶應如何應對

在 Kaspersky 負責任的揭露之後， Apple 在其研究發佈之前移除了 26 個 FakeWallet 應用程式中的 25 個。盜竊報告公開後，Apple 移除了詐騙性的 macOS Ledger 應用程式。

根據 Kaspersky 的建議，您不應安裝任何未經雇主授權用於合法商業目的的開發者描述檔。您也不應將助記詞輸入任何意外要求它的應用程式中，因為實際的錢包應用程式在沒有使用實體硬體設備的情況下，絕不會要求您輸入助記詞。無論您是從 App Store 獲取應用程式，都應在下載應用程式之前，透過查看開發者的官方網站來驗證每個應用程式的發行商。

App Store 並非毫無漏洞。這是一個有證據支持的、有充分文獻記載的事實，而不是埋藏在大多數用戶不閱讀的安全白皮書中的理論擔憂。