Исследователи «Лаборатории Касперского» изучили тактику распространения вредоносных программ через официальный магазин приложений App Store для устройств Apple. В марте этого года в китайском App Store были обнаружены более двух десятков приложений, мимикрирующих под популярные программы для работы с криптовалютой. Для обхода проверок при публикации приложения в них заложена какая-то рудиментарная функциональность, обычно даже не имеющая никакого отношения к криптовалютам. Но главной задачей такой программы после установки является открытие браузера и направление пользователя на страницу, с которой будет установлена уже настоящая вредоносная программа методом добавления Enterprise-профиля на устройство.

Злоумышленники воспользовались особенностями App Store в Китае, из-за которых некоторые официальные приложения для работы с криптовалютой там недоступны. Всего было найдено 26 программ, маскирующиеся под популярные криптокошельки, в частности под MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. В ряде случаев название приложения было случайным, но в описании утверждалось, что из-за ограничений в Китае в нем «спрятано» официальное ПО для работы с каким-либо сервисом.

Основной функциональностью всех приложений является кража данных для доступа к горячим криптокошелькам. Пользователей так или иначе заставляют вводить данные во вредоносном приложении и отправляют их на командный сервер. В ряде случаев атакующие также нацелены на холодные кошельки — в исследовании подробно разбирается модифицированное приложение для работы с кошельками Ledger. Помимо приложений в App Store исследователи также обнаружили веб-страницы, замаскированные под официальные сайты криптосервисов, с которых распространялись те же вредоносные программы. Несмотря на то что вредоносное ПО явно было нацелено на пользователей из Китая, оно не имело региональных ограничений, а в ряде случаев подстраивалось под установленный на телефоне язык, что намекает на возможность расширения атаки и на другие регионы.

Что еще произошло

Еще одна публикация экспертов «Лаборатории Касперского» разбирает фреймворк пост-эксплуатации AdaptixC2. Этот набор инструментов регулярно используется в реальных атаках, включая APT-атаки и атаки с шифрованием данных. Опубликован также регулярный отчет по эволюции угроз для систем промышленной автоматизации за четвертый квартал 2025 года.

Издание BleepingComputer пишет об очередном методе эксплуатации легитимных сервисов для рассылки фишинговых сообщений. Новая схема работает следующим образом. Создается новый аккаунт Apple ID, инициируется смена адреса доставки, о чем с серверов Apple высылается по e-mail соответствующая нотификация. Эта нотификация далее перенаправляется потенциальным жертвам, и такое письмо выглядит так, будто пришло с серверов Apple. Оно также проходит все проверки на легитимность и с большой вероятностью пропускается спам-фильтром. Атакующий в данном случае имеет ограниченные возможности для вставки фишингового сообщения. Как видно на скриншоте выше, оно внедряется в виде имени и фамилии пользователя Apple ID. Туда вставляется текст, который на стороне потенциальной жертвы выглядит так, будто кто-то пытается купить iPhone с помощью их учетной записи. А для решения «проблемы» предлагается позвонить по телефону «техподдержки».

Обнаружена уязвимость в библиотеке wolfSSL, облегченной реализации протоколов SSL/TLS для встраиваемых устройств. Ошибка в коде теоретически может быть использована, чтобы заставить подверженное устройство или программу принять поддельный сертификат. Уязвимость была обнаружена исследователем из компании Anthropic с использованием ИИ-ассистента.