蘋果App Store驚見假錢包，FakeWallet攻擊竊取助記詞

這波攻擊主要出現在中國區App Store。Kaspersky已發現至少26款釣魚應用偽裝成主流加密貨幣錢包。由於多數官方錢包無法在中國區App Store上架（特別是Apple ID設為中國地區的用戶），使駭客得以利用此情境，上架名稱與圖示與官方錢包高度相似的假App，並宣稱官方版本無法取得，誘導使用者轉往其他管道下載，進而展開後續攻擊。

上述釣魚應用主要模仿多款主流加密貨幣錢包，包括MetaMask、Ledger Live、Trust Wallet、Coinbase旗下錢包，以及TokenPocket、imToken與Bitpie等，透過使用與官方高度相似的圖示、名稱（甚至刻意拼錯字），並搭配看似正常的介面或功能，增加使用者誤信與下載的機率。

這些假錢包App多半只是入口，開啟後會將使用者導向仿冒頁面，誘導下載被植入惡意程式的錢包，或直接要求輸入助記詞。當使用者建立或匯入錢包時，助記詞就會被攔截並傳送給攻擊者，進而取得錢包控制權並竊取資產；部分針對硬體錢包的攻擊，則會偽裝成「安全驗證」畫面，誘騙使用者自行輸入助記詞。

研究發現，這類攻擊並非單一手法，部分樣本是透過植入惡意程式庫或竄改原始碼，在應用執行過程中攔截助記詞，亦有版本會利用iOS描述檔機制，繞過App Store安裝限制，將受感染的錢包直接安裝至裝置中，增加偵測與防範難度。

在攻擊來源方面，Kaspersky指出，FakeWallet行動可能與另一已知惡意程式SparkKitty存在關聯。研究人員在部分樣本中發現同時包含兩者模組，且程式內部出現中文註解與紀錄訊息，顯示開發者可能為中文母語者。不過，目前尚無法確認這些攻擊是否出自同一駭客組織。

值得注意的是，儘管本次攻擊主要以中國市場為目標，但惡意模組本身並未設有地區限制，且部分釣魚介面可依語言自動調整，意味著該手法具備擴散至其他市場的能力。