App Store惊现FakeWallet:二十余款钓鱼应用窃取加密货币
🕵️ High 间谍软件
卡巴斯基在2026年3月发现Apple App Store中超过20款伪装成热门加密货币钱包的钓鱼应用,利用iOS配置文件和代码注入技术劫持恢复短语和私钥。该活动自2025年秋季以来一直未被发现,专门针对中国区用户,通过typosquatting和虚假宣传诱导下载。
来源:Kaspersky Securelist | 2026-04-20 | 原文链接
🔍 关键发现
- 发现26款App Store中的钓鱼应用,模仿MetaMask、Ledger、Trust Wallet等主流钱包
- 攻击者利用iOS企业配置文件和库注入技术,在设备上安装木马化版本的钱包应用
- 恶意模块通过RSA加密和Base64编码将窃取的助记词发送到C2服务器
- 部分应用包含伪功能(游戏、计算器等)作为占位符,实际功能在后续更新中激活
⚔️ 攻击链分析
1. 用户在App Store下载伪装成合法钱包的钓鱼应用;2. 应用启动后打开恶意链接,利用配置文件和库注入安装木马化钱包;3. 木马化钱包中的恶意模块劫持恢复短语输入界面;4. 窃取的数据经RSA加密后通过POST请求发送到C2服务器。
🚩 失陷指标 (IOC)
HEUR:Trojan-PSW.IphoneOS.FakeWallet.*HEUR:Trojan.IphoneOS.FakeWallet.*libokexHook.dylib__hook section in main executable
🛡️ 缓解建议
- ✅ 仅从官方渠道(如钱包官网)下载应用,避免使用搜索结果中名称拼写错误的版本
- ✅ 定期检查已安装应用的权限和异常行为,尤其是涉及敏感数据输入的应用
- ✅ 企业用户应限制iOS企业配置文件的安装,防止恶意软件利用此渠道传播
涉及漏洞:[]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。