蘋果 App Store 假錢包 攻擊 竊取 助記詞 駭客 利用 中國 區 漏洞

資安公司卡巴斯基近日揭露，蘋果App Store中國區出現至少26款偽裝成主流加密貨幣錢包的假應用程式，名為FakeWallet攻擊。這些應用表面模擬MetaMask、Trust Wallet等官方錢包，實際上導向仿冒下載頁面，誘騙用戶輸入助記詞與私鑰，進而竊取加密資產。攻擊主要針對中國用戶，因官方錢包無法在中國區App Store上架（特別是Apple ID設為中國地區的用戶），駭客利用此漏洞上架名稱與圖示高度相似的假App，宣稱「官方版本無法取得」，引導用戶轉往外部管道下載，實施後續竊取。此行動已造成多起資產損失，提醒用戶謹防假冒應用，避免因疏忽導致財務危機。

假錢包攻擊手法細解

FakeWallet攻擊的技術細節展現高度專業性與社會工程學結合。駭客精心複製官方錢包的圖示、界面及功能，甚至刻意拼錯關鍵字（例如將「MetaMask」誤寫為「MetaMsk」），以增加用戶誤信機率。當用戶下載安裝後，應用會立即彈出「安全更新」提示，誘導點擊連結下載「官方新版」，實則安裝含惡意程式的假錢包。在用戶建立或匯入錢包時，助記詞（由12-24個英文單詞組成的恢復短語）會被截獲並傳送至攻擊者伺服器，使資產完全暴露。更為狡猾的是，部分樣本透過植入惡意程式庫（如Trojan.Malware）或竄改原始碼，在應用執行過程中自動竊取資料；另有版本利用iOS描述檔（Profile）機制，繞過App Store的安裝限制，直接將受感染錢包安裝至裝置，大幅降低被偵測的機會。助記詞作為加密錢包的「金鑰」，一旦洩露，攻擊者即可無需授權轉移所有資產。此手法與2020年「DeFiPhish」攻擊類似，但此次更針對中國市場的特殊性——由於監管限制，官方錢包無法上架，駭客便利用此缺口。Kaspersky分析顯示，2023年類似攻擊已導致全球用戶損失超5000萬美元，且攻擊手法正加速進化，透過社交媒體廣告（如微信、抖音推廣）提高下載率，顯示資安威脅已產業化。

攻擊範圍與全球影響

FakeWallet攻擊雖以中國區為主要目標，但其影響力已超越地域限制，具備全球擴散潛力。Kaspersky研究指出，惡意模組未設地區鎖定，且釣魚介面可自動偵測用戶語言（如英文Apple ID顯示英文內容），意味著駭客能輕易將攻擊擴展至歐美市場。更關鍵的是，FakeWallet與另一已知惡意程式SparkKitty存在關聯，部分樣本同時包含兩者模組，程式內部出現中文註解如「開發者：中國」，顯示開發者可能為中文母語者，且針對中國用戶的行為模式設計。此現象與中國區的特殊市場環境緊密相關：Apple ID設為中國地區的用戶無法下載MetaMask等官方錢包，導致大量用戶轉向非官方渠道，駭客便趁虛而入。全球加密市場近年爆發式成長，2023年用戶數突破1.5億，資產總值逾1.2兆美元，成為駭客的「金礦」。類似攻擊在2022年Google Play也曾發生，竊取信用卡資訊，造成數百萬美元損失，凸顯平台安全機制仍存漏洞。Kaspersky警告，若不加強審查，此類攻擊將蔓延至其他加密熱潮區域，如東南亞。資安專家強調，2023年全球加密資產竊取事件損失達10億美元，其中50%來自釣魚攻擊，顯示防範措施亟需升級。

防範措施與用戶指南

用戶應採取主動防護策略以應對FakeWallet等威脅，核心在於提升辨識能力與使用安全工具。首要步驟是嚴格確認應用來源：僅從蘋果App Store下載官方錢包（如MetaMask官方頁面），避免點擊任何來路不明的連結或從第三方網站下載。檢查應用名稱、圖示及開發者資訊，警惕拼寫錯誤（如「imToken」誤寫為「imTon」），並核對Apple ID地區是否為官方支援區域。絕對不要在任何應用中輸入助記詞或私鑰，官方錢包絕不會索取此類敏感資訊；若遇要求，立即停止操作。建議用戶安裝可靠資安軟體如Kaspersky Mobile Security或Bitdefender，進行實時掃描，並定期更新iOS系統以修補安全漏洞。硬體錢包（如Ledger Nano S）是最佳選擇，因其離線存儲私鑰，無法被遠端竊取，適合高價值資產管理。資安專家還強調，用戶應定期檢查錢包交易記錄，若發現異常（如未授權轉帳），立即聯繫官方客服並更換助記詞。Apple已宣佈將加強App Store審查，包括AI掃描可疑應用及要求開發者提供實名驗證，但駭客手法進化迅速。2023年11月，一名中國用戶因下載假「MetaMask」應用，損失價值5萬美元的以太幣，此案例突顯個人疏忽的嚴重性。此外，台灣資安協會推出「加密安全小貼士」，教導用戶辨識假App，並舉辦免費講座提升意識。總之，平台需強化審核，用戶則需養成安全習慣，雙管齊下才能有效阻擋此類威脅。