FakeWallet
A Kaspersky egy iOS-t érintő, FakeWallet néven azonosított kriptolopó kampányt mutat be, amely az Apple App Store-on keresztül terjed, és elsősorban a felhasználók bizalmára épít. A kutatás szerint 2026 márciusában több mint 20–26 hamis alkalmazást azonosítottak, amelyek népszerű kriptotárcák kinézetét és nevét utánozzák. Ezek az appok nem tartalmaznak közvetlen exploitot, hanem phishing-alapú támadási láncot indítanak, elindítás után egy, az App Store-hoz hasonló weboldalra irányítják a felhasználót, ahol egy frissített vagy hivatalos wallet telepítésére veszik rá.
A tényleges kompromittáció ebben a második fázisban történik. A felhasználó által telepített vagy megnyitott komponens már trójai funkcionalitást tartalmaz, amely kifejezetten seed phrase-ek és privát kulcsok megszerzésére készült. Ez lehetővé teszi a támadók számára a kriptotárcák teljes kiürítését.
A kampány egyik kulcseleme a platformspecifikus megtévesztés. A támadók kihasználják, hogy bizonyos régiókban – különösen a kínai App Store-ban – hivatalos wallet alkalmazások nem érhetők el, így a felhasználók könnyebben elfogadják a hamis alternatívákat. Az alkalmazások ikonja, neve és leírása szándékosan hasonlít az eredetire, ami segít megkerülni a felhasználói ellenőrzést és részben a platform szűrőit is.
A korábbi kampányok provisioning profile-okra és külső telepítésre épültek, míg ebben az esetben a teljes lánc részben hivatalos alkalmazásbolt infrastruktúrán belül kezdődik, ami jelentősen növeli a hitelességet és a sikerességet. A metaadatok alapján a művelet legalább 2025 ősze óta aktív, ami hosszabb idejű, alacsony zajszintű működést jelez.
