كشف باحثون في الأمن السيبراني عن مجموعة من التطبيقات الخبيثة على Apple App Store، أُطلق عليها اسم FakeWallet، والتي تنتحل هوية محافظ عملات رقمية شهيرة مثل Bitpie وCoinbase وimToken وLedger وMetaMask وTokenPocket وTrust Wallet. الهدف الأساسي لهذه التطبيقات هو سرقة العبارات الاسترجاعية (Seed Phrases) والمفاتيح الخاصة للمستخدمين، ما يتيح للمهاجمين السيطرة الكاملة على محافظهم الرقمية. معظم هذه التطبيقات أُزيلت لاحقًا من المتجر بعد الإبلاغ عنها، ولم يُرصد توزيعها عبر متجر Google Play.
أساليب الخداع والتضليل
التطبيقات المزورة صُممت بعناية لتشبه التطبيقات الأصلية من حيث الأيقونات، لكنها تضمنت أخطاء إملائية متعمدة في الأسماء مثل LeddgerNew لخداع المستخدمين. في بعض الحالات، لم يكن للتطبيقات أي علاقة بالعملات الرقمية، بل استُخدمت كواجهات وهمية تدّعي أن التطبيق الأصلي “غير متاح في المتجر” لأسباب تنظيمية، وتوجه المستخدمين لتنزيل نسخة مزورة عبرها.
كما رُصدت تطبيقات أخرى مرتبطة بنفس الجهات المهاجمة، لكنها لم تُظهر خصائص خبيثة مباشرة، بل تقمصت خدمات عادية مثل الألعاب أو الآلات الحاسبة، ثم فتحت روابط عبر المتصفح لتثبيت تطبيقات المحافظ باستخدام ملفات تعريف مؤسسية (Enterprise Provisioning Profiles).
تقنيات الاستغلال وسرقة العبارات الاسترجاعية
بحسب الباحث سيرغي بوزان من Kaspersky، المهاجمون طوروا مكتبات خبيثة مخصصة لكل محفظة مستهدفة، حيث يتم حقنها في التطبيق أو تعديل الشيفرة الأصلية. الهدف النهائي هو اعتراض العبارات الاسترجاعية سواء من المحافظ الساخنة أو الباردة، وإرسالها إلى خوادم خارجية.
تتم عملية السرقة عبر اعتراض الشاشة التي يدخل فيها المستخدم عبارته الاسترجاعية، أو عبر صفحات تصيّد تدّعي أنها خطوات تحقق رسمية. بعض التطبيقات تضمنت وحدات إضافية تستخدم تقنية التعرف البصري على الحروف (OCR) لالتقاط العبارات من الصور، وهو أسلوب مشابه لحملة SparkKitty التي ظهرت العام الماضي.
حملة MiningDropper على أندرويد
بالتوازي مع حملة FakeWallet، سلطت شركة Cyble الضوء على إطار عمل خبيث جديد لأندرويد يُعرف باسم MiningDropper أو BeatBanker، يجمع بين التعدين غير المشروع للعملات الرقمية وسرقة المعلومات والوصول عن بُعد والبرمجيات المصرفية الخبيثة. استهدفت هذه الحملة مستخدمين في الهند وأمريكا اللاتينية وأوروبا وآسيا ضمن حملة BTMOB RAT.
تم توزيع MiningDropper عبر نسخة مزورة من مشروع مفتوح المصدر يُدعى Lumolight، باستخدام مواقع وهمية تنتحل مؤسسات مصرفية وهيئات نقل إقليمية. يعتمد الإطار على بنية متعددة المراحل تشمل إخفاء XOR، وتشفير AES، وتحميل ديناميكي لـ DEX، وتقنيات مضادة للمحاكاة، مما يجعل تحليله أكثر صعوبة ويمنح المهاجمين مرونة في اختيار الحمولة النهائية.
