蘋果App Store驚見假錢包,FakeWallet攻擊竊取助記詞
攻擊概述
資安業者Kaspersky揭露,一波名為FakeWallet的攻擊行動已滲透蘋果App Store,出現至少26款偽裝成主流加密貨幣錢包的應用程式。這些App表面看似正常,但實際上會將使用者導向仿冒下載頁,誘導安裝被植入惡意程式的錢包,或透過釣魚介面騙取助記詞(Recovery Phrase)與私鑰,進而竊取加密資產。
攻擊手法與影響
- 假錢包應用程式通常會要求使用者輸入「助記詞」(Recovery Phrase),這是詐騙的明顯跡象,真實的錢包應用程式絕不會要求用戶提供此資訊。
- 當使用者建立或匯入錢包時,若不慎輸入助記詞,駭客即可立即取得其私鑰,並完全掌控其加密資產。
- 有報導指出,美國音樂人Garrett Dutton(藝名G. Love)因下載假冒錢包應用程式並輸入助記詞,導致其累積十年的近數十萬美元比特幣退休金遭竊。
- 根據The Hacker News報導,該攻擊自2025年秋季以來,已針對中國用戶的Apple App Store帳號進行,成功竊取大量加密資產,其中一個假App已從超過50名受害者手中盜走950萬美元。
後續發展
蘋果公司已針對此類惡意應用程式進行審查與移除,並強調其審核流程應加強對加密貨幣錢包類應用程式的安全檢測,以防止類似釣魚攻擊再次發生。