Falsas Carteras Cripto Diseñadas para Vaciar Activos Digitales Identificadas en la App Store de Apple

Falsas Carteras Cripto Diseñadas para Vaciar Activos Digitales Identificadas en la App Store de Apple

Kaspersky encontró 26 aplicaciones falsas de billeteras cripto en la App Store de iOS que robaban frases semilla. Una aplicación falsa separada de Ledger drenó $9.5 millones de más de 50 víctimas en menos de una semana a través del mezclador AudiA6.

La App Store ha gozado de una sólida reputación como un lugar seguro para descargar aplicaciones. En ese sentido, se creía que el software malicioso no superaría el proceso de revisión. Esta reputación sufrió un duro golpe en abril de 2026 cuando investigadores de seguridad descubrieron 26 aplicaciones fraudulentas de monederos de criptomonedas en la App Store; además, una aplicación falsa de Ledger robó más de 9.5 millones de dólares a más de 50 personas en menos de siete días. Estos incidentes exponen una deficiencia importante en la seguridad de la App Store de la que los usuarios de criptomonedas deberían ser conscientes.

La Campaña FakeWallet

El equipo de Inteligencia de Amenazas de Kaspersky ha analizado de cerca una operación coordinada de malware llamada FakeWallet. Esta operación ha sido rastreada hasta al menos el otoño de 2025 y probablemente está asociada con los mismos actores conocidos anteriormente por SparkKitty, una operación de malware basada en iOS reportada solo un año antes. Las aplicaciones fueron diseñadas para verse y funcionar exactamente igual que siete monederos de criptomonedas populares diferentes (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken y Bitpie). Imitaban la apariencia visual y diseñaban sus interfaces para superar una inspección superficial, y se encontraron principalmente en la App Store china de iOS, donde no existen monederos de criptomonedas oficiales debido a las regulaciones locales. Los actores maliciosos buscaron explotar esta brecha creando sus aplicaciones como juegos/calculadoras para pasar la revisión inicial de Apple y cambiar a una acción maliciosa una vez instaladas.

Cómo Funciona el Ataque

Una vez que los usuarios han instalado la aplicación maliciosa, esta los redirigirá a una página web diseñada para parecer una página legítima de la App Store de Apple, solicitándoles que descarguen lo que en realidad es una versión troyanizada de una aplicación de monedero de criptomonedas. Luego, la página le pide al usuario que instale un perfil de desarrollador (un método legítimo de distribución interna de aplicaciones para Apple) que, una vez aprobado, instalará una versión troyanizada de un monedero de criptomonedas en el teléfono del usuario. Una vez completada la instalación, el ataque procederá dependiendo del tipo de monedero atacado.


Si el monedero que utiliza la víctima se clasifica como un 'monedero caliente', el malware interceptará la pantalla de creación o recuperación de los monederos, esperando capturar exactamente cuando la víctima ingresa su frase semilla. Si el malware es capaz de capturar la frase semilla (y la víctima no tendría forma de saber que ha sido capturada), los actores maliciosos tendrían control total y permanente del monedero de la víctima y de todo lo almacenado en él. No hay forma de revertir esto. La cadena de bloques no tiene idea de cómo se obtuvo la clave privada.


Para los monederos que caen en la categoría de 'monedero frío', como Ledger, el malware utilizará un vector de ataque diferente para obtener control sobre los activos del monedero de la víctima. La aplicación legítima de Ledger para smartphone nunca solicita frases semilla y solo interactúa con el dispositivo de hardware Ledger (las claves privadas reales se almacenan en ese dispositivo de hardware). El malware creará una versión falsa de la aplicación Ledger para smartphone y proporcionará pasos para fines de verificación; los pasos de verificación solicitarán la frase semilla de la víctima para completar el proceso de verificación. Este proceso de instalación está diseñado intencionalmente para abusar del nivel de confianza de la víctima en la aplicación legítima para obtener acceso seguro a sus activos.


Las frases semilla capturadas se cifran usando RSA y se transmiten a servidores controlados por los atacantes. Una vez que los fondos son drenados, la recuperación no es posible.

El Incidente de Ledger y el Daño Financiero

Entre el 7 y el 13 de abril, una aplicación Ledger Live creada fraudulentamente en la App Store de macOS estafó a más de 50 víctimas diferentes por un valor total de más de $9.5 millones. Las tres mayores pérdidas consistieron en $3.23 millones en USDT, $2.08 millones en USDC y $1.95 millones en tipos combinados de BTC, ETH y stETH. $7.76 millones de los fondos robados fueron transferidos a través de 150 direcciones de depósito separadas de KuCoin y fueron blanqueados a través de un servicio de mezcla centralizado llamado AudiA6 que fue diseñado para ofuscar cualquier rastro de actividad de transacción. Una de las víctimas informó haber perdido el equivalente a 5.9 BTC (10 años de ahorros) después de descargar por error una versión de la aplicación de aspecto oficial mientras configuraba su nueva computadora.


Datos Clave de un Vistazo



Elemento

Detalle

Nombre de la campaña

FakeWallet

Aplicaciones identificadas

26

Monederos suplantados

MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken, Bitpie

Campaña activa desde

Al menos otoño de 2025

Campaña previa vinculada

SparkKitty

Región objetivo inicial principal

App Store china de iOS

Restricción geográfica del malware

Ninguna — exposición global posible

Aplicaciones eliminadas por Apple

25 de 26 (antes de la publicación)

Pérdidas separadas por aplicación falsa de Ledger

$9.5 millones

Víctimas en el incidente de Ledger

Más de 50

Ruta de blanqueo de fondos robados

Direcciones de depósito de KuCoin a través del mezclador AudiA6


Qué Deben Hacer los Usuarios


Tras la divulgación responsable de Kaspersky, Apple eliminó 25 de las 26 aplicaciones de FakeWallet antes de la publicación de su investigación. Después de que se hizo público un informe de robo, Apple eliminó la aplicación fraudulenta de Ledger para macOS.


Según Kaspersky, no debes instalar ningún perfil de desarrollador que no esté autorizado por tu empleador para un propósito comercial legítimo. Tampoco debes introducir tu frase semilla en ninguna aplicación que te la solicite de forma inesperada, ya que las aplicaciones de monedero reales nunca solicitarán una frase semilla sin el uso de sus dispositivos de hardware físicos. También debes verificar el editor de cada aplicación que descargues consultando el sitio web oficial del desarrollador antes de descargar la aplicación, ya sea que la obtengas de la App Store.


La App Store no está exenta de compromisos. Este es un hecho bien documentado y respaldado por pruebas, no una preocupación teórica enterrada en un informe técnico de seguridad que la mayoría de los usuarios no leen.


Todas las opiniones expresadas son opiniones personales del autor y no constituyen asesoramiento de inversión.

Últimos artículos

Índice de miedo y codicia

Trade
31
Miedo
¿Cuál cree usted que es el sentimiento actual del mercado?
+78.57%+21.42%
SpotFuturos
Sin datos