摘要:卡巴斯基披露苹果应用商店中存在26款伪装成主流加密钱包的恶意应用,通过仿冒知名品牌、诱导安装等手段窃取用户私钥。尽管苹果已移除多数恶意程序,但审核漏洞仍使用户面临资产风险,专家呼吁加强平台监管与用户防范意识。
币圈界报道:
卡巴斯基曝光苹果应用商店26款仿冒加密钱包应用
卡巴斯基安全研究团队近期在苹果应用商店中发现26款伪装成主流数字钱包的恶意应用程序,这些伪造软件以窃取用户的助记词与私钥为核心目标。被模仿的品牌涵盖MetaMask、Ledger、Trust Wallet及Coinbase等广受信赖的加密服务提供商。此次代号为“虚假钱包”的攻击活动,暴露出应用分发平台在内容审核机制上的深层缺陷,即便在以安全性著称的iOS生态中,用户依然可能遭遇资产被盗风险。
恶意行为呈现系统性特征,长期潜伏于应用生态
安全分析显示,该类欺诈活动至少自2025年秋季起便持续运作,表明其背后存在有组织的攻击团伙而非临时漏洞利用。攻击者采用域名抢注、图标复刻以及将应用伪装成计算器或休闲游戏等方式规避审查,从而绕过初步审核流程。一旦用户下载并启动,程序会引导其进入精心设计的钓鱼页面,诱导执行后续恶意操作。
攻击链条嵌套隐蔽,多层诱导完成数据窃取
整个攻击路径始于应用商店内部。当用户搜索钱包类应用时,可能看到与官方应用高度相似的列表项。然而,这些应用本身并非最终目标——打开后,程序会加载外观仿冒苹果官方界面的钓鱼页面,诱导用户通过iOS配置描述文件安装第二个木马化钱包应用。该恶意组件专用于截获或诱骗用户输入核心身份凭证,如助记词与私钥。
核心风险无法挽回,平台信任机制遭挑战
助记词作为加密钱包的唯一访问密钥,一旦外泄即意味着资产永久失控,且无法像传统密码一样进行重置。值得注意的是,应用商店的上架状态并不等于安全背书。尽管苹果在报告发布前已下架其中25款应用,并清理最后1个残留样本,但根本问题仍未根除:如此大规模的仿冒应用如何成功通过审核并出现在搜索结果中?
根据苹果2025年5月公布的欺诈防御报告,2024年度共处理超770万次应用提交,拒绝190万次,移除逾3.7万个欺诈类应用。尽管数据规模庞大,但此类事件仍暴露了审核系统的盲区,尤其在部分非主流地区应用商店中,由于缺乏官方钱包上架,监管真空为攻击者提供了可乘之机。
用户应强化识别能力,构建主动防御体系
为降低风险,建议用户避免仅依赖应用商店名称搜索钱包应用,应直接访问各钱包厂商官网获取可信下载链接;安装前务必核对开发者信息是否与官方一致;对评价稀少、上线时间极短的应用保持高度警惕。若已向可疑应用输入助记词,应立即使用可信设备创建新钱包,并尽快转移全部资产至安全环境。
本事件凸显平台治理与个人防护并重的重要性。随着加密资产普及率上升,社会工程学攻击的覆盖面正不断扩展。行业观察者将持续关注应用商店对金融类应用的审核优化进展,以及钱包服务商即将推出的新型安全预警机制。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。