Kaspersky sinaliza 26 aplicativos falsos de carteira de Criptomoeda na App Store da Apple

A empresa de cibersegurança Kaspersky identificou 26 aplicações fraudulentas de carteira de criptomoeda na App Store da Apple. Estas aplicações foram concebidas para roubar os ativos digitais dos utilizadores. A equipa de Investigação de Ameaças da empresa descobriu que as aplicações imitam carteiras cripto populares, como a MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken e Bitpie. Copiam os nomes e a identidade visual para parecerem legítimas.

Após serem abertas, estas aplicações redirecionam os utilizadores para páginas de phishing. Estas páginas assemelham-se à interface da App Store e solicitam aos utilizadores que façam o download de uma segunda aplicação. Essa segunda aplicação é, na verdade, uma carteira trojanizada que pode drenar fundos em criptomoeda.

Como funciona a fraude

A Kaspersky afirmou que a campanha está ativa desde pelo menos o outono de 2025. Com moderada confiança, ligaram-na aos agentes de ameaça por detrás do SparkKitty, uma estirpe de malware iOS previamente identificada. As versões oficiais de muitas destas aplicações de carteira não estão disponíveis na App Store iOS chinesa. A maioria das aplicações de phishing detetadas foi distribuída especificamente a utilizadores na China. No entanto, o payload malicioso em si não inclui restrições regionais. Isto significa essencialmente que utilizadores fora da China também podem ser afetados. A Kaspersky confirmou que comunicou todas as aplicações identificadas à Apple.

De acordo com as conclusões, as aplicações fraudulentas incluem funcionalidades básicas e não relacionadas, como jogos, calculadoras ou gestores de tarefas. Estas funcionalidades criam uma aparência de legitimidade e ajudam as aplicações a passar na análise inicial. Após a instalação, guiam os utilizadores por um processo que abre uma página web falsa da App Store. De seguida, incentivam os utilizadores a fazer o download do que aparenta ser a aplicação de carteira pretendida.

Este processo de instalação funciona de forma semelhante ao SparkKitty. Utiliza as ferramentas de desenvolvimento empresarial da Apple para distribuição corporativa de aplicações. É solicitado aos utilizadores que instalem um perfil de programador no seu dispositivo. Isto permite-lhes instalar aplicações fora da App Store. Os atacantes contam com o facto de os utilizadores ignorarem este passo, o que permite a instalação de software malicioso.

Uma vez instaladas, as aplicações de carteira trojanizadas imitam o comportamento da carteira específica que personificam. Visam tanto carteiras quentes como carteiras frias.

O especialista em malware móvel da Kaspersky, Sergey Puzan, afirmou que, embora as próprias aplicações possam não conter código prejudicial, servem como pontos de entrada numa cadeia de ataque mais ampla. Esta cadeia acaba por conduzir à instalação de malware. Puzan alertou ainda: "Ao pagar uma taxa e configurar uma conta de programador, os atacantes podem visar qualquer dispositivo iOS se o utilizador ceder à tática de phishing. Os utilizadores devem estar atentos aos riscos relacionados com a gestão das suas carteiras cripto mesmo em dispositivos que consideram seguros, como os iPhones. Esperamos que possam existir mais aplicações cripto trojanizadas distribuídas com uma tática semelhante."

Dispositivo Ledger falsificado

O relatório mais recente surge dias após a exposição de um dispositivo Ledger Nano S Plus falsificado. Um investigador de cibersegurança brasileiro encontrou o dispositivo à venda num mercado online, como parte de uma sofisticada operação de phishing concebida para roubar credenciais de carteira cripto. O dispositivo foi comercializado e vendido ao preço de um produto oficial. Inicialmente parecia genuíno, mas falhou a verificação quando ligado ao Ledger Live.

Ao abrir o dispositivo, o investigador encontrou componentes internos que não correspondiam ao hardware legítimo. Isto incluía um chip com as suas marcações removidas e antenas WiFi e Bluetooth adicionais não presentes em carteiras Ledger autênticas. Um exame mais aprofundado do firmware revelou que tanto os códigos PIN como as frases-semente estavam armazenados em texto simples. O firmware também continha referências a servidores externos. Isto indicava que o dispositivo foi concebido para capturar e transmitir dados sensíveis.

O investigador reconheceu que este ataque não envolve qualquer falha na segurança da Ledger. Em vez disso, utiliza dispositivos falsos, aplicações prejudiciais e truques de phishing para visar os utilizadores.

The post Kaspersky Flags 26 Fake Crypto Wallet Apps on Apple App Store appeared first on TheCryptoUpdates.