Kaspersky señala 26 aplicaciones falsas de criptomonedas en la App Store de Apple

La empresa de ciberseguridad Kaspersky ha identificado 26 aplicaciones fraudulentas de billetera de criptomonedas en el App Store de Apple. Estas apps están diseñadas para robar los activos digitales de los usuarios. El equipo de Investigación de Amenazas de la compañía descubrió que las apps imitan billeteras de Cripto populares, como MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie. Copian los nombres y la identidad visual para parecer legítimas.

Una vez abiertas, estas aplicaciones redirigen a los usuarios a páginas de phishing. Estas páginas se asemejan a la interfaz del App Store e instan a los usuarios a descargar una segunda aplicación. Esa segunda app es en realidad una billetera troyanizada que puede vaciar los fondos de criptomonedas.

Cómo Funciona la Estafa

Kaspersky indicó que la campaña ha estado activa desde al menos el otoño de 2025. Con moderada confianza, la vincularon a los actores de amenazas detrás de SparkKitty, una cepa de malware de iOS identificada previamente. Las versiones oficiales de muchas de estas apps de billetera no están disponibles en el App Store de iOS chino. La mayoría de las apps de phishing detectadas se distribuyeron específicamente a usuarios en China. Sin embargo, la carga maliciosa en sí no incluye restricciones regionales. Esto significa esencialmente que los usuarios fuera de China también podrían verse afectados. Kaspersky confirmó que ha reportado todas las apps identificadas a Apple.

Según los hallazgos, las apps fraudulentas incluyen funciones básicas y sin relación, como juegos, calculadoras o gestores de tareas. Estas funciones crean una apariencia de legitimidad y ayudan a las apps a superar el escrutinio inicial. Tras la instalación, guían a los usuarios a través de un proceso que abre una página web falsa del App Store. Luego, animan a los usuarios a descargar lo que parece ser la aplicación de billetera deseada.

Este proceso de instalación funciona de manera similar a SparkKitty. Utiliza las herramientas de desarrollador empresarial de Apple para la distribución corporativa de apps. Se solicita a los usuarios que instalen un perfil de desarrollador en su dispositivo. Esto les permite instalar apps desde fuera del App Store. Los atacantes confían en que los usuarios pasen por alto este paso, lo que permite la instalación de software malicioso.

Una vez instaladas, las aplicaciones de billetera troyanizadas imitan el comportamiento de la billetera específica que suplantan. Se dirigen tanto a billeteras calientes como frías.

El experto en malware móvil de Kaspersky, Sergey Puzan, afirmó que, aunque las apps en sí pueden no contener código dañino, sirven como puntos de entrada en una cadena de ataque más amplia. Esta cadena finalmente conduce a la instalación de malware. Puzan advirtió además: "Pagando una tarifa y configurando una cuenta de desarrollador, los atacantes pueden apuntar a cualquier dispositivo iOS si el usuario cae en la táctica de phishing. Los usuarios deben tener cuidado con los riesgos relacionados con la gestión de sus billeteras de Cripto incluso en dispositivos que consideran seguros, como los iPhones. Esperamos que pueda haber más apps de Cripto troyanizadas distribuidas con una táctica similar."

Dispositivo Ledger Falsificado

El informe más reciente llega días después de que se expusiera un dispositivo Ledger Nano S Plus falsificado. Un investigador de ciberseguridad brasileño encontró el dispositivo vendido a través de un mercado en línea como parte de una sofisticada operación de phishing diseñada para robar credenciales de billetera de criptomonedas. El dispositivo fue comercializado y vendido a un precio como si fuera un producto oficial. Inicialmente parecía genuino, pero falló la verificación al conectarse a Ledger Live.

Al abrir el dispositivo, el investigador encontró componentes internos que no coincidían con el hardware legítimo. Esto incluía un chip con sus marcas eliminadas y antenas adicionales de WiFi y Bluetooth no presentes en las billeteras Ledger auténticas. Un examen más detallado del firmware reveló que tanto los códigos PIN como las frases de recuperación se almacenaban en texto plano. El firmware también contenía referencias a servidores externos. Esto indicaba que el dispositivo fue diseñado para capturar y transmitir datos sensibles.

El investigador reconoció que este ataque no implica ningún fallo en la seguridad de Ledger. En cambio, utiliza dispositivos falsos, apps dañinas y trucos de phishing para atacar a los usuarios.

La publicación Kaspersky Identifica 26 Apps Falsas de Billetera de Cripto en el App Store de Apple apareció primero en TheCryptoUpdates.