حددت شركة كاسبرسكي للأمن السيبراني 26 تطبيقًا احتياليًا لمحفظة العملات المشفرة على متجر تطبيقات أبل، مصممة لسرقة الأصول الرقمية للمستخدمين.
اكتشف فريق أبحاث التهديدات التابع للشركة أن هذه التطبيقات تُقلّد محافظ العملات الرقمية الشائعة مثل MetaMask وLedger وTrust Wallet وCoinbase وTokenPocket وimToken وBitpie، حيث تنسخ أسماءها وهويتها المؤسسية لتبدو شرعية. بمجرد فتحها، تُعيد هذه التطبيقات توجيه المستخدمين إلى صفحات تصيّد احتيالي تُشبه واجهة متجر التطبيقات، وتحثّهم على تنزيل تطبيق ثانٍ، وهو في الواقع محفظة مُصابة ببرامج خبيثة قادرة على سرقة أموال العملات الرقمية.
كيف تتم عملية الاحتيال
أفادت كاسبرسكي بأن الحملة نشطة منذ خريف عام 2025 على الأقل، وربطتها، بدرجة عالية من اليقين، بمطوري برنامج SparkKitty، وهو نوع من البرامج الخبيثة لنظام iOS تم تحديده سابقًا. لا تتوفر النسخ الرسمية للعديد من تطبيقات المحافظ الإلكترونية هذه في متجر التطبيقات الصيني؛ وقد وُزِّعت معظم تطبيقات التصيّد الاحتيالي المكتشفة خصيصًا للمستخدمين في الصين، على الرغم من أن الحمولة الخبيثة لا تخضع لقيود إقليمية. وهذا يعني أن المستخدمين خارج الصين قد يتأثرون أيضًا. وأكدت كاسبرسكي أنها أبلغت شركة آبل بجميع التطبيقات التي تم تحديدها.
تتضمن التطبيقات الاحتيالية، بحسب التقارير، ميزات أساسية غير ذات صلة، مثل الألعاب والآلات الحاسبة وبرامج إدارة المهام، لإضفاء مظهر شرعي عليها وتجاوز التدقيق الأولي. بعد التثبيت، توجه هذه التطبيقات المستخدمين خلال عملية تفتح صفحة ويب مزيفة لمتجر التطبيقات، وتشجعهم على تنزيل ما يبدو أنه تطبيق المحفظة الرقمية المقصود.
تُشبه عملية التثبيت هذه عملية تثبيت SparkKitty، حيث تستخدم أدوات تطوير تطبيقات المؤسسات من Apple لتوزيع تطبيقات المؤسسات. يُطلب من المستخدمين تثبيت ملف تعريف مطوّر على أجهزتهم، مما يسمح لهم بتثبيت التطبيقات من خارج متجر التطبيقات. ويعتمد المهاجمون على تخطي المستخدمين لهذه الخطوة، مما يُتيح تثبيت برامج ضارة.
بمجرد تثبيتها، تُصمم تطبيقات المحفظة المصابة ببرامج التجسس لتقليد سلوك المحفظة المحددة التي تنتحل شخصيتها. وهي تستهدف كلاً من المحافظ المتصلة بالإنترنت (المحافظ الساخنة) والمحافظ غير المتصلة بالإنترنت (المحافظ الباردة).
قال سيرجي بوزان، خبير البرمجيات الخبيثة للهواتف المحمولة في شركة كاسبرسكي، إنه على الرغم من أن التطبيقات نفسها قد لا تحتوي على برمجيات خبيثة، إلا أنها تُشكل نقاط دخول في سلسلة هجمات أوسع نطاقًا تؤدي في النهاية إلى تثبيت البرمجيات الخبيثة. كما حذر الباحث أيضًا:
بدفع رسوم وإنشاء حساب مطوّر، يستطيع المهاجمون استهداف أي جهاز يعمل بنظام iOS إذا وقع المستخدم ضحيةً لأسلوب التصيّد الاحتيالي. يجب على المستخدمين إدراك المخاطر المصاحبة لإدارة محافظ العملات الرقمية الخاصة بهم، حتى على الأجهزة التي يعتبرونها آمنة، مثل أجهزة iPhone. نتوقع أن يتم توزيع تطبيقات أخرى للعملات الرقمية مصابة ببرامج خبيثة باستخدام أسلوب مماثل.
جهاز التلاعب بسجلات المحاسبة
يأتي هذا التقرير الأخير بعد أيام قليلة من كشف باحث برازيلي في مجال الأمن السيبراني عن جهاز Ledger Nano S Plus مزيف، تم بيعه عبر أحد الأسواق الإلكترونية، كجزء من عملية تصيد احتيالي متطورة تهدف إلى سرقة بيانات اعتماد محافظ العملات الرقمية. وقد تم تسويق الجهاز وتسعيره كمنتج رسمي، وبدا في البداية أصليًا، لكنه فشل في التحقق عند توصيله بمنصة Ledger Live.
عند فتح الجهاز، وجد الباحث مكونات داخلية لا تتطابق مع الأجهزة الأصلية، بما في ذلك شريحة مُزالة العلامات وهوائيات واي فاي وبلوتوث إضافية غير موجودة في محافظ ليدجر الأصلية. وكشف تحليل إضافي للبرمجيات الثابتة أن رموز التعريف الشخصية وعبارات الاسترداد مخزنة كنص عادي، بالإضافة إلى إشارات إلى خوادم خارجية، مما يشير إلى أن الجهاز مصمم لالتقاط ونقل البيانات الحساسة.
أقر الباحث بأن هذا الهجوم لا يعتمد على أي ثغرات أمنية في Ledger، ولكنه يستخدم بدلاً من ذلك أجهزة مزيفة وتطبيقات ضارة وتقنيات التصيد الاحتيالي لاستهداف المستخدمين.
ظهرت المقالة "مستخدمو أجهزة iPhone، احذروا: كاسبرسكي يحذر من 26 تطبيقًا مزيفًا لمحفظة العملات المشفرة قد تستنزف أموالكم" لأول مرة على موقع CryptoPotato .