От подделки до взлома. Как с помощью вредоносных крипто-приложений преступники похищают активы

23.10.2025, 09:06

Как работают вредоносные криптокошельки? Какие схемы распространения используются злоумышленниками? И какие меры помогут сохранить контроль над активами? Об этом и многом другом порталу PLUSworld рассказывает аналитик по расследованиям AML/KYT провайдера «Шард» Дмитрий Пойда.

От подделки до взлома. Как с помощью вредоносных крипто-приложений преступники похищают активы — Фото: предоставлено автором

Современные схемы распространения вредоносных крипто-приложений

С точки зрения целеполагания, вредоносные крипто-приложения нацелены прежде всего на финансовую монетизацию, как напрямую, через кражу активов, так и косвенно, через вымогательство. Вектор атак охватывает спектр от приватных ключей и seed-фраз до логинов, куки-файлов и содержимого буфера обмена.

Среди основных схем распространения:

Использование доверенных источников ПО. Злоумышленники внедряют вредоносный код через официальные каналы, такие как менеджеры пакетов (например, NPM), каталоги расширений криптокошельков и Open Source репозитории. Из-за этого зараженное ПО попадает даже в те программы, которые пользователи считают надежными, что создает серьезные риски.

Мошенничество под видом предложений о работе. Киберпреступники создают фейковые компании и размещают обманчивые предложения о работе в соцсетях и на профессиональных сайтах. Например, русскоязычная группировка создала фиктивную компанию ChainSeeker.io и распространяла через соцсети фальшивые вакансии с приглашением на дистанционное собеседование. Жертвы скачивали приложение GrassCall, которое якобы служило для видеозвонков, а на самом деле устанавливал вредоносное ПО для кражи данных и доступа к криптокошелькам.

Модель Ransomware as a Service (RaaS). Вредоносное ПО предлагается как готовый «продукт» с поддержкой, обновлениями и инструкциями для получения выкупа. Эта модель снижает барьер входа для злоумышленников и превращает кибератаки в масштабируемый бизнес.

По условиям большинства таких программ до 90% прибыли от выкупа остается у исполнителей, а остальное получает оператор платформы. Все чаще наблюдаются попытки перевести инфраструктуру этих сервисов в децентрализованную среду с использованием NFT и DAO-механизмов для анонимного управления.

Как фейковые криптокошельки крадут приватные ключи и seed-фразы

В первом приближении такие приложения выглядят как легитимные сервисы, однако на деле они являются вредоносным программным обеспечением. После установки и запуска фейковый кошелек получает доступ к конфиденциальной информации пользователя.

Один из основных методов — запрос приватных ключей и seed-фраз якобы для восстановления или настройки аккаунта. Введенные данные сразу отправляются злоумышленникам. В подобных приложениях могут быть встроены кейлоггеры — модули, которые фиксируют каждое нажатие клавиш и позволяют в реальном времени считывать вводимую информацию.

Дополнительную угрозу представляют так называемые клипперы — вредоносное ПО, которое отслеживает буфер обмена и отправляет средства на счета мошенников. Эта техника незаметна и активируется только при копировании криптоадреса, что затрудняет выявление и нейтрализацию вредоносного кода.

Некоторые фальшивые кошельки также оснащаются инструментами для перехвата SMS-сообщений и обхода двухфакторной аутентификации (2FA). Например, SIM‑сваппинг — когда злоумышленники получают контроль над номером телефона жертвы и, как следствие, доступ к ее настоящему кошельку.

Фейковые и модифицированные криптоприложения

Фейковое криптоприложение — вредоносная программа, созданная специально под видом реального кошелька. Злоумышленники копируют название, логотип и дизайн с официальных источников, чтобы вызвать доверие и заставить пользователя ввести приватные ключи или seed‑фразу. Такие приложения распространяют через фишинговые сайты, рекламные сети и мессенджеры. Иногда они попадают в официальные магазины приложений из‑за слабой модерации. На деле такие программы либо не выполняют никакой функции хранения криптоактивов, либо сразу же переводят преступникам все, что пользователь передает.

Модифицированное приложение — другой тип угрозы. Изначально это легитимный продукт от авторитетной компании: с аудитом и размещенный на официальных ресурсах. Но при скачивании APK-файла (файл, используемый для установки приложений на Android-устройствах) с непроверенного сайта или по ссылке из фишингового письма пользователь может получить версию с внедренным вредоносным кодом. Такой код работает скрытно: подставляет адреса получателей при отправке средств, фиксирует действия пользователя и пересылает данные на удаленные серверы. Проблема в том, что внешне и по функциям модифицированное приложение ничем не отличается от оригинала.

Если говорить более техническим языком, фейковое приложение — это приемы социальной инженерии и подделка интерфейса, тогда как модифицированное легитимное приложение направлено на компрометацию целостности и безопасности исходного кода.

Как вредоносные модификации подрывают доверие пользователей

Вредоносные модификации приложений — одна из самых опасных форм распространения вредоносного ПО. Они подрывают базовое доверие пользователей к официальным каналам дистрибуции, таким как Google Play. Причем речь идет не только о фейковых приложениях, которые имитируют известные криптокошельки, но и о внедрении вредоносного кода в легитимные приложения через механизмы обновлений или так называемые «loader-модули», которые активируются уже после установки.

Распространенная тактика злоумышленников — динамическая загрузка вредоносного кода уже после установки приложения. Изначально в магазине публикуется «чистая», безопасная версия, которая проходит все проверки. Однако после установки программа связывается с удаленным сервером и загружает дополнительные компоненты, которые могут содержать вредоносный код.

Этот способ использовали трояны из семейства SharkBot. Они маскировались под полезные утилиты, суммарно скачанные более 600 тыс. раз. Троян анализировал файлы cookie, извлекал учетные данные и автоматически подписывал жертв на платные услуги, что приводило к финансовым потерям.

Какие меры помогут обезопасить криптокошелек:

· Проверяйте разработчика приложения. Имя издателя должно строго соответствовать официальному поставщику кошелька, без лишних символов, пробелов или подмен. Например, настоящие приложения от MetaMask публикуются только от ConsenSys, а Trust Wallet в свою очередь от команды Binance Labs.

· Загружайте приложения по прямой ссылке с официального сайта проекта. Никогда не ищите кошелек через поиск в магазине или по ссылкам в мессенджерах. Это простое правило уже отсекает до 90% фальшивых установок. После установки внимательно оцените поведение приложения: если при первом запуске оно сразу запрашивает вашу seed-фразу, приватный ключ или другие чувствительные данные, с высокой долей вероятности это подделка. Настоящие кошельки просят ввести такие данные только в рамках процесса восстановления, и только по вашей инициативе.

· Обратите внимание на разрешения, которые требует приложение. Криптокошельку не нужно знать ваши контакты, SMS, историю звонков или доступ к камере.

Если вы уже установили подозрительное приложение, но еще не вводили приватные данные, срочно отключите устройство от интернета, удалите приложение, просканируйте устройство антивирусом и сбросьте все сохраненные ключи на новое безопасное устройство.

В случае, когда данные уже были введены — действуйте немедленно. Создайте новый кошелек на проверенном устройстве, переведите туда все средства, и только потом приступайте к полной чистке или сбросу зараженного устройства.

И самое главное – не храните ключи и seed-фразы в открытом виде; не делайте скриншоты, не сохраняйте их в заметках или в облаке. Используйте аппаратные кошельки для хранения крупных сумм и активируйте двухфакторную аутентификацию везде, где это возможно.