Исследователь разобрал фейковый Ledger, купленный через крупный маркетплейс по цене оригинала, и обнаружили внутри сторонний чип с затертой маркировкой и беспроводной модуль, которого нет ни в одной оригинальной модели.
Прошивка хранила PIN-код и сид-фразы в открытом виде, без какого-либо шифрования. Там же нашлись ссылки на удаленные серверы управления.
Устройство маскировалось под Ledger на уровне идентификаторов, но при загрузке раскрывалось как продукт Espressif. При подключении к официальному Ledger Live оригинальная проверка подлинности Genuine Check сразу выявила подделку — именно этот сбой и подтолкнул владельца вскрыть девайс.
Схема для новичков
В коробке лежит карточка с QR-кодом, ведущим на клон ledger.com. Оттуда пользователь скачивает поддельный Ledger Live — под Android, iOS, Windows или macOS. Приложение имитирует успешную проверку подлинности, пользователь создает кошелек, записывает сид-фразу, и данные уходят прямо на серверы злоумышленников.
Android-версия идет дальше: отслеживает балансы по публичным ключам, запрашивает геолокацию и продолжает работу в фоне даже после закрытия. Беспроводные модули внутри устройства, судя по всему, в атаке не задействовались — ключевым вектором оказался именно фишинг через приложение.
Связанная инфраструктура
Исследование показало единую сеть из нескольких доменов и серверов, зарегистрированных через одного провайдера. Продажи вели через компанию-оболочку, созданную специально под маркетплейсы. Отдельные случаи поддельных Ledger фиксировались и раньше, но здесь прослеживается полноценная цепочка поставок с централизованным управлением.
Блокчейн-детектив ZachXBT ранее сообщал, что фейковый Ledger Live в App Store за одну неделю опустошил кошельки более 50 пользователей, а средства прошли через свыше 150 адресов KuCoin, связанных с сервисом AudiA6. Ещё раньше похожее приложение в том же App Store собрало $9,5 млн с пользователей.
Уязвимостей в самом Ledger атака не эксплуатирует: оригинальный Genuine Check подделку выявляет. Риск возникает при покупке устройств вне официальных каналов и установке приложений по QR-кодам из коробки.