Два независимых исследования, опубликованных с разницей в несколько недель, зафиксировали принципиально новый уровень угроз для владельцев криптовалюты. Компании Kaspersky и Cyble обнаружили атаки, которые взламывают не протоколы блокчейна, а самое слабое звено — устройство пользователя. Один сценарий разворачивается на iPhone, другой на Android. Оба достаточно продуманы, чтобы обмануть даже осторожного человека.
Исследователь Kaspersky Сергей Пузан задокументировал кампанию, которую в лаборатории назвали FakeWallet. Начиная как минимум с осени 2025 года в App Store удалось пробраться 26 вредоносным приложениям, имитирующим популярные криптокошельки. В списке целей — Bitpie, Coinbase, imToken, Ledger, М⃰Mask, TokenPocket и Trust Wallet. Примечательно: ни одного подобного приложения не нашли в Google Play. Атака целилась именно в iOS-аудиторию.
Прошлые схемы такого рода работали через фишинговые сайты и злоупотребление iOS provisioning profiles — то есть пользователя нужно было вытащить за пределы официального магазина. Здесь же приложения лежали прямо в App Store, доступные для скачивания с аккаунтов, привязанных к китайскому региону. Авторов атаки Пузан и его коллеги считают носителями китайского языка — и связывают кампанию с прошлогодней операцией SparkKitty по ряду пересечений: тот же языковой профиль, тот же фокус на криптоактивах, то же использование модулей оптического распознавания текста.
Способы маскировки у FakeWallet довольно разнообразные. Часть приложений просто копирует иконку оригинального кошелька, но вводит опечатки в названии — например, LeddgerNew вместо Ledger. Другие выглядят совершенно невинно: игра, калькулятор, планировщик задач. Такие «заглушки» сообщают пользователю, что официальное приложение кошелька недоступно из-за регуляторных ограничений, и предлагают установить его через браузер по ссылке — с использованием enterprise provisioning profiles.
Сам механизм кражи устроен следующим образом. Вредоносный код внедряется либо через инъекцию библиотеки, либо через прямую модификацию исходного кода приложения. Каждый модуль заточен под конкретный кошелёк. После установки приложение перехватывает экран ввода мнемонической фразы — seed phrase — и либо «цепляет» обработчик ввода через hooking, либо подменяет экран фишинговой страницей под видом верификации. Некоторые версии дополнительно используют OCR: сканируют изображения на устройстве в поиске записанных слов-восстановителей. Всё собранное уходит на внешний сервер, после чего кошелёк опустошается.
Параллельно Cyble занималась совершенно другой угрозой на платформе Android. Их находка получила название MiningDropper, в других источниках фигурирующее как BeatBanker. Это часть более широкой операции под названием BTMOB RAT, ориентированной на пользователей в Индии, Латинской Америке, Европе и Азии.
Распространяется MiningDropper через поддельные сайты, имитирующие банковские организации и региональные транспортные службы, а также через троянизированную версию реального опенсорсного Android-приложения Lumolight. Когда жертва запускает заражённую программу, начинается многоэтапная последовательность. Из зашифрованного архива внутри пакета извлекаются полезные нагрузки: майнер криптовалюты и банковский троян.
Техническая сторона этой схемы продумана с явным расчётом на уклонение от обнаружения. Применяется XOR-обфускация нативного кода, AES-шифрование полезных нагрузок на этапах загрузки, динамическая подгрузка DEX-файлов и проверки на запуск в эмуляторе. Последнее важно: именно в виртуальных средах чаще всего анализируют подозрительные файлы специалисты по безопасности, и MiningDropper намеренно ведёт себя иначе при обнаружении такой среды.
Главное, что делает MiningDropper нетривиальным инструментом — его модульность. Архитектура разделяет механизм доставки и конечную «монетизирующую» нагрузку. Это значит, что одна и та же инфраструктура заражения может использоваться для сотен разных образцов вредоносного ПО. Сегодня оператор разворачивает майнер, завтра — банковский троян, послезавтра — инструмент кражи данных. Ничего не нужно переписывать с нуля. Это резко снижает стоимость атак и позволяет быстро переключаться между целями в зависимости от того, что выгоднее в данный момент.
Оба случая объединяет одно: злоумышленники вкладывают существенные ресурсы не в взлом самих блокчейнов, а в компрометацию интерфейсов. Seed-фраза, введённая в поддельное поле ввода, или банковские данные, перехваченные троянизированным приложением, дают атакующему всё необходимое без единого криптографического взлома. Apple App Store при этом оказывается не гарантией безопасности, а просто ещё одним каналом распространения — если атакующие умеют в него зайти.
Изображение носит иллюстративный характер
Исследователь Kaspersky Сергей Пузан задокументировал кампанию, которую в лаборатории назвали FakeWallet. Начиная как минимум с осени 2025 года в App Store удалось пробраться 26 вредоносным приложениям, имитирующим популярные криптокошельки. В списке целей — Bitpie, Coinbase, imToken, Ledger, М⃰Mask, TokenPocket и Trust Wallet. Примечательно: ни одного подобного приложения не нашли в Google Play. Атака целилась именно в iOS-аудиторию.
Прошлые схемы такого рода работали через фишинговые сайты и злоупотребление iOS provisioning profiles — то есть пользователя нужно было вытащить за пределы официального магазина. Здесь же приложения лежали прямо в App Store, доступные для скачивания с аккаунтов, привязанных к китайскому региону. Авторов атаки Пузан и его коллеги считают носителями китайского языка — и связывают кампанию с прошлогодней операцией SparkKitty по ряду пересечений: тот же языковой профиль, тот же фокус на криптоактивах, то же использование модулей оптического распознавания текста.
Способы маскировки у FakeWallet довольно разнообразные. Часть приложений просто копирует иконку оригинального кошелька, но вводит опечатки в названии — например, LeddgerNew вместо Ledger. Другие выглядят совершенно невинно: игра, калькулятор, планировщик задач. Такие «заглушки» сообщают пользователю, что официальное приложение кошелька недоступно из-за регуляторных ограничений, и предлагают установить его через браузер по ссылке — с использованием enterprise provisioning profiles.
Сам механизм кражи устроен следующим образом. Вредоносный код внедряется либо через инъекцию библиотеки, либо через прямую модификацию исходного кода приложения. Каждый модуль заточен под конкретный кошелёк. После установки приложение перехватывает экран ввода мнемонической фразы — seed phrase — и либо «цепляет» обработчик ввода через hooking, либо подменяет экран фишинговой страницей под видом верификации. Некоторые версии дополнительно используют OCR: сканируют изображения на устройстве в поиске записанных слов-восстановителей. Всё собранное уходит на внешний сервер, после чего кошелёк опустошается.
Параллельно Cyble занималась совершенно другой угрозой на платформе Android. Их находка получила название MiningDropper, в других источниках фигурирующее как BeatBanker. Это часть более широкой операции под названием BTMOB RAT, ориентированной на пользователей в Индии, Латинской Америке, Европе и Азии.
Распространяется MiningDropper через поддельные сайты, имитирующие банковские организации и региональные транспортные службы, а также через троянизированную версию реального опенсорсного Android-приложения Lumolight. Когда жертва запускает заражённую программу, начинается многоэтапная последовательность. Из зашифрованного архива внутри пакета извлекаются полезные нагрузки: майнер криптовалюты и банковский троян.
Техническая сторона этой схемы продумана с явным расчётом на уклонение от обнаружения. Применяется XOR-обфускация нативного кода, AES-шифрование полезных нагрузок на этапах загрузки, динамическая подгрузка DEX-файлов и проверки на запуск в эмуляторе. Последнее важно: именно в виртуальных средах чаще всего анализируют подозрительные файлы специалисты по безопасности, и MiningDropper намеренно ведёт себя иначе при обнаружении такой среды.
Главное, что делает MiningDropper нетривиальным инструментом — его модульность. Архитектура разделяет механизм доставки и конечную «монетизирующую» нагрузку. Это значит, что одна и та же инфраструктура заражения может использоваться для сотен разных образцов вредоносного ПО. Сегодня оператор разворачивает майнер, завтра — банковский троян, послезавтра — инструмент кражи данных. Ничего не нужно переписывать с нуля. Это резко снижает стоимость атак и позволяет быстро переключаться между целями в зависимости от того, что выгоднее в данный момент.
Оба случая объединяет одно: злоумышленники вкладывают существенные ресурсы не в взлом самих блокчейнов, а в компрометацию интерфейсов. Seed-фраза, введённая в поддельное поле ввода, или банковские данные, перехваченные троянизированным приложением, дают атакующему всё необходимое без единого криптографического взлома. Apple App Store при этом оказывается не гарантией безопасности, а просто ещё одним каналом распространения — если атакующие умеют в него зайти.
