Dompet Crypto Palsu yang Dirancang untuk Menguras Aset Digital Ditemukan di Apple App Store
ra****@gmail.com2026-05-07
Kaspersky menemukan 26 aplikasi dompet kripto palsu di iOS App Store yang mencuri frase benih. Aplikasi Ledger palsu terpisah menguras $9,5 juta dari lebih dari 50 korban dalam waktu kurang dari seminggu melalui mixer AudiA6.
App Store memiliki reputasi kuat sebagai tempat yang aman untuk mengunduh aplikasi. Dalam hal itu, diyakini bahwa perangkat lunak yang buruk tidak akan lolos proses peninjauan. Reputasi ini terpukul parah pada April 2026 ketika peneliti keamanan menemukan 26 aplikasi dompet mata uang kripto palsu di App Store; lebih lanjut, sebuah aplikasi Ledger palsu mencuri lebih dari 9,5 juta dolar dari lebih dari 50 orang dalam waktu kurang dari tujuh hari. Insiden ini mengungkap kekurangan besar dalam keamanan App Store yang harus diketahui oleh pengguna mata uang kripto.
Kampanye FakeWallet
Tim Intelijen Ancaman Kaspersky telah menganalisis dengan cermat operasi malware terkoordinasi yang disebut FakeWallet. Operasi ini telah dilacak kembali ke rentang waktu minimal Musim Gugur 2025 dan kemungkinan terkait dengan pelaku yang sama yang sebelumnya dikenal dengan SparkKitty — operasi malware berbasis iOS yang dilaporkan setahun sebelumnya. Aplikasi-aplikasi tersebut dirancang agar terlihat persis sama dan berfungsi sama seperti tujuh dompet mata uang kripto populer yang berbeda (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken, dan Bitpie). Mereka meniru tampilan visual dan menata antarmuka mereka sedemikian rupa sehingga akan lolos pemeriksaan biasa — dan mereka ditemukan terutama di App Store iOS Tiongkok, tempat tidak ada dompet mata uang kripto resmi karena peraturan setempat. Pelaku jahat berusaha memanfaatkan celah ini dengan membuat aplikasi mereka sebagai game/kalkulator untuk lolos tinjauan awal Apple dan beralih ke tindakan berbahaya setelah diinstal.
Cara Kerja Serangan
Setelah pengguna menginstal aplikasi berbahaya, aplikasi itu akan mengalihkan mereka ke halaman web yang dibuat agar terlihat seperti halaman App Store Apple yang sah, meminta mereka untuk mengunduh apa yang sebenarnya adalah versi Trojanized dari aplikasi dompet kripto. Halaman tersebut kemudian meminta pengguna untuk menginstal profil pengembang (metode distribusi aplikasi internal yang sah untuk Apple) yang, setelah disetujui, akan menginstal versi Trojanized dari dompet kripto di ponsel pengguna. Setelah instalasi selesai, serangan akan berlanjut tergantung pada jenis dompet yang diserang.
Jika dompet yang digunakan korban diklasifikasikan sebagai dompet 'panas' (hot wallet), malware akan mencegat layar pembuatan atau pemulihan dompet menunggu untuk menangkap tepat saat korban memasukkan frasa sandi (seed phrase) mereka. Jika malware berhasil menangkap frasa sandi (dan korban tidak akan tahu bahwa itu telah ditangkap), pelaku jahat akan memiliki kontrol penuh dan permanen atas dompet korban dan segala sesuatu yang tersimpan di dalam dompet tersebut. Tidak ada cara untuk membalikkan ini. Blockchain tidak tahu bagaimana kunci pribadi diperoleh.
Untuk dompet yang termasuk dalam kategori dompet 'dingin' (cold wallet), seperti Ledger, malware akan menggunakan vektor serangan yang berbeda untuk mendapatkan kontrol atas aset dompet korban. Aplikasi smartphone Ledger yang sah tidak pernah meminta frasa sandi dan hanya berinteraksi dengan perangkat keras Ledger (kunci pribadi yang sebenarnya disimpan di perangkat keras itu). Malware akan membuat versi palsu dari aplikasi smartphone Ledger dan menyediakan langkah-langkah untuk tujuan verifikasi; langkah-langkah verifikasi akan meminta frasa sandi korban untuk menyelesaikan proses verifikasi. Proses instalasi ini sengaja dirancang untuk menyalahgunakan tingkat kepercayaan korban pada aplikasi yang sah untuk mendapatkan akses aman ke aset mereka.
Frasa sandi yang berhasil ditangkap dienkripsi menggunakan RSA dan ditransmisikan ke server yang dikendalikan penyerang. Setelah dana dikuras, pemulihan tidak mungkin dilakukan.
Insiden Ledger dan Kerugian Finansial
Antara 7–13 April, sebuah aplikasi Ledger Live yang dibuat secara curang di macOS App Store menipu lebih dari 50 korban berbeda dengan total nilai lebih dari $9,5 juta. Tiga kerugian terbesar terdiri dari $3,23 juta dalam USDT, $2,08 juta dalam USDC, dan $1,95 juta dalam gabungan jenis BTC, ETH, dan stETH. $7,76 juta dari dana yang dicuri ditransfer melalui 150 alamat deposit KuCoin yang berbeda dan dicuci melalui layanan mixing terpusat bernama AudiA6 yang dirancang untuk mengaburkan jejak aktivitas transaksi apa pun. Salah satu korban melaporkan kehilangan setara 5,9 BTC (tabungan 10 tahun) setelah secara keliru mengunduh versi aplikasi yang tampak resmi saat mengonfigurasi komputer barunya.
Fakta Penting Sekilas
Yang Harus Dilakukan Pengguna
Menyusul pengungkapan yang bertanggung jawab oleh Kaspersky, Apple menghapus 25 dari 26 aplikasi FakeWallet sebelum publikasi penelitiannya. Setelah laporan pencurian dipublikasikan, Apple menghapus aplikasi Ledger macOS palsu.
Menurut Kaspersky, Anda tidak boleh menginstal profil pengembang apa pun yang tidak diizinkan oleh atasan Anda untuk tujuan bisnis yang sah. Anda juga tidak boleh memasukkan frasa sandi Anda ke aplikasi apa pun yang memintanya secara tidak terduga karena aplikasi dompet asli tidak akan pernah meminta frasa sandi tanpa menggunakan perangkat keras fisik mereka. Anda juga harus memverifikasi penerbit setiap aplikasi yang Anda unduh dengan memeriksa situs web resmi pengembang sebelum mengunduh aplikasi, apakah Anda mendapatkan aplikasi dari App Store.
App Store tidak bebas dari kompromi. Ini adalah fakta terdokumentasi dengan baik yang didukung oleh bukti, bukan kekhawatiran teoretis yang tersembunyi di dalam white paper keamanan yang sebagian besar pengguna tidak membacanya.
