Apple App Store

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

Um conjunto de 26 aplicativos maliciosos foi identificado na Apple App Store, disfarçando-se como carteiras populares como Metamask, Coinbase, Trust Wallet e OneKey. Esses aplicativos têm como objetivo roubar frases de recuperação ou seed phrases, drenando os ativos em criptomoedas dos usuários. Os atacantes utilizaram métodos como typosquatting e branding falso para enganar usuários na China, publicando os aplicativos como jogos ou calculadoras, na tentativa de contornar as restrições do país. Os pesquisadores da Kaspersky nomearam essa campanha de FakeWallet, associando-a à operação SparkKitty. Ao serem abertos, os aplicativos redirecionam os usuários para páginas de phishing que imitam portais legítimos de serviços de criptomoedas. Essas páginas convencem as vítimas a baixar aplicativos de carteira trojanizados, que interceptam as frases mnemônicas durante a configuração ou recuperação da carteira, criptografando-as e enviando-as para os atacantes. Embora a campanha tenha como alvo principal usuários na China, o malware não possui restrições geográficas, podendo afetar usuários globalmente. A Kaspersky recomenda que os detentores de criptomoedas verifiquem sempre o editor dos aplicativos que baixam, mesmo em lojas oficiais. Após a divulgação responsável da Kaspersky, a Apple removeu todos os 26 aplicativos da App Store.