安全公司Kaspersky近日披露，一波名为FakeWallet的攻击行动已渗透苹果App Store，至少发现26款伪装成主流加密货币钱包的应用程序。这些应用表面看似正常，实则会将用户引导至仿冒下载页面，诱导安装被植入恶意代码的钱包，或通过钓鱼界面骗取助记词（Recovery Phrase）与私钥，进而窃取加密资产。

此次攻击主要集中在大陆地区的App Store。Kaspersky发现，由于多数官方钱包应用无法在大陆区App Store上架（尤其是Apple ID设置为大陆地区的用户），攻击者借此机会上架名称与图标与官方钱包高度相似的假冒应用，并声称官方版本无法获取，诱使用户通过其他渠道下载，从而实施后续攻击。

这些钓鱼应用主要模仿MetaMask、Ledger Live、Trust Wallet、Coinbase旗下钱包，以及TokenPocket、imToken和Bitpie等主流加密钱包，通过使用与官方极为相似的图标、名称（甚至故意拼错字），并搭配看似正常的界面或功能，提高用户误信和下载的概率。

这些假钱包应用大多仅作为入口，启动后会跳转至仿冒页面，诱导用户下载被植入恶意代码的钱包，或直接要求输入助记词。当用户创建或导入钱包时，助记词会被拦截并发送给攻击者，从而获得钱包控制权并盗取资产；部分针对硬件钱包的攻击，则伪装成“安全验证”界面，诱骗用户手动输入助记词。

研究发现，此类攻击并非单一手法，部分样本通过植入恶意程序库或篡改源代码，在应用运行过程中截取助记词；另有版本利用iOS描述文件机制，绕过App Store的安装限制，直接将受感染的钱包安装到设备中，增加检测与防范难度。

在攻击来源方面，Kaspersky指出，FakeWallet行动可能与已知恶意程序SparkKitty存在关联。研究人员在部分样本中发现两者模块同时存在，且程序内含中文注释与日志信息，表明开发者可能为中文母语者。不过，目前尚无法确认这些攻击是否出自同一黑客组织。

值得注意的是，尽管本次攻击主要针对中国大陆市场，但恶意模块本身未设置地域限制，部分钓鱼界面可自动识别语言并切换内容，表明该手法具备向其他地区扩散的潜力。