Crypto Alert: 26 تطبيق "FakeWallet" تفرشات فـ Apple App Store

TL;DR: باحثين لقاو حملة مطورة فيها 26 تطبيق خبيث فـ Apple App Store، الهدف ديالها هو يسرقوا كلمات السر (recovery phrases) ديال محافظ الكريبتو. هاد التطبيقات اللي تسمى "FakeWallet"، كينتحلوا صفة منسات كبار بحال MetaMask و Coinbase، وكيستهدفوا بالأساس الناس اللي عندهم حسابات Apple فـ الشينوا.

---

باحثين فـ الأمن السيبراني كشفوا على خطر كبير كيهدد مستخدمي الكريبتو فـ التليفون: مجموعة من 26 تطبيق خبيث قدروا يدوزوا من "الفلترات" ديال الحماية ديال App Store. هاد التطبيقات، اللي تعطاهم سمية FakeWallet، مصاوبين باش يسرقوا كلمات الاسترجاع (seed phrases) والمفاتيح الخاصة (private keys) باش يخويو الصولدو ديال الضحايا.

على حساب Sergey Puzan، الباحث فـ شركة Kaspersky، هاد الحملة بدات من لخريف ديال 2025 على الأقل. وبالرغم من أن بزاف من هاد التطبيقات تمسحات من بعد ما تفرشات، إلا أن الطريقة باش مخدومة كبين باللي الخطر على صحاب iOS غادي وكيتطور.

كيفاش مخدومة هاد الخطة ديال "FakeWallet"

على عكس الحملات القديمة اللي كانت كتحط روابط فـ مواقع مشبوهة، صحاب FakeWallet قدروا يحطوا الفيروسات ديالهم مباشرة فـ المتجر الرسمي ديال Apple App Store.

الهدف الأساسي كانوا هما الناس اللي دايرين "الشينوا" (China) فـ المنطقة ديال حساب Apple ديالهم. المهاجمين استعملوا بزاف ديال الطرق ديال التلاعب باش يشدو الضحايا:

1. أخطاء كتابية مقصودة: كانوا كيحطوا تطبيقات بأسماء فيها غلط صغير فـ السميات ديال الشركات المعروفة—مثلاً "LeddgerNew" بلاصت Ledger.
2. تقليد الشكل: التطبيقات كانت كتستعمل "أيقونات" (icons) كتشبه تماماً للتطبيقات الحقيقية باش يخليو المستخدم يثيق فيهم دغيا.
3. تطبيقات "التمويه": شي تطبيقات كانت كبان فـ الأول عادية، بحال ألعاب، ماكينة حساب، أو تطبيقات ديال تنظيم المهام. غير كتحلها، كتقوليك باللي التطبيق "الرسمي" ماخدامش فـ App Store بسباب القوانين، وكتصيفطك لواحد الصفحة فـ الـ "browser" باش تيليشارجي نسخة فيها فيروس (trojanized).
4. بروفايلات الإعداد (Provisioning Profiles): المهاجمين استغلوا هاد البروفايلات ديال الشركات باش ينصبوا الفيروسات لداخل فـ التليفون ديال الضحية مباشرة.

المنصات اللي استهدفوها

هاد الحملة استهدفت بزاف ديال مستخدمي المحافظ ( wallets) السخونة والباردة، وانتحلت صفة أشهر الماركات فـ هاد الميدان، بحال:

• Bitpie
• Coinbase
• imToken
• Ledger
• MetaMask
• TokenPocket
• Trust Wallet

الطريقة التقنية: السرقة عن طريق "Library Injection" و "OCR"

مرة كينصب المستخدم التطبيق، الفيروس كيخدم بطرق مختلفة باش يخرج المعلومات الحساسة. Puzan قال: "المهاجمين صاوبوا بزاف ديال الوحدات الخبيثة، كل وحدة مفصلة على حساب wallet معينة".

الهدف الرئيسي هو يسرقوا كلمات الاسترجاع (mnemonic recovery phrases). وهادشي كيديروه بـ:

• Code Hooking: كيزيدوا "libraries" خبيثة فـ الكود ديال التطبيق باش يراقبوا الشاشة فاش كيكون المستخدم كيدخل كلمات الاسترجاع ديالو.
• Phishing UI: كيطلعوا صفحات ديال تأكيد (verification) مزورة كطلب من المستخدم يكتب الـ "seed phrase" ديالو.
• التعرف الضوئي على الحروف (OCR): فـ شي حالات، الفيروس كيقدر "يقرا" النص اللي فـ الشاشة باستعمال تقنية OCR باش يسرق الكلمات حتى لاماكنش المستخدم كتبهم بيدو.

بسباب استعمال تقنية OCR والتشابه التقني، الباحثين كيشكوا باللي هاد الحملة عندها علاقة بالمهاجمين اللي مورا فيروس SparkKitty، وهي حملة كيرجع الأصل ديالها لمهاجمين من الشينوا كيستهدفو الكريبتو.

من غير iOS: خطر MiningDropper

وخا حملة FakeWallet ركزت على iOS، الباحثين هضروا حتى على خطر آخر فـ Android كيتسمى MiningDropper (أو BeatBanker).

هاد النظام كيستهدف المستخدمين فـ الهند، أمريكا اللاتينية، أوروبا، وأسيا. كيستعمل طريقة معقدة باش يوصل فيروسات ديال التعدين (crypto miners)، وفيروسات بنكية، وبرامج التحكم عن بعد (RATs). عكس FakeWallet، لحد الساعة ماكاين حتى دليل باللي هاد التطبيقات كانت فـ Google Play Store؛ ولكن كانت كتنشر عبر مواقع مزورة كتقلد المؤسسات البنكية.

خلاصة

حملة FakeWallet كبين واحد التحول خطير فـ أمن الهواتف، وكتثبت باللي حتى App Store ديال Apple اللي كيتعتبر "مسدود وآمن" ماشي محمي 100% من الخدع المتطورة. خاص المستخدمين يبقاو حارصين، ويتأكدوا مزيان من سميات التطبيقات، وعمرهم ما يعطيو كلمات الاسترجاع لشي تطبيق إلا إلا كانوا متأكدين 100% باللي هو الحقيقي.

لحد الساعة، ماكاين حتى دليل باللي تطبيقات FakeWallet كانت فـ Google Play Store.

---

المصدر: https://thehackernews.com/2026/04/26-fakewallet-apps-found-on-apple-app.html