Nepcryptoportefeuilles Ontdekt op Apple App Store om Digitale Activa leeg te trekken

De App Store heeft altijd een sterke reputatie gehad als een veilige plek voor het downloaden van apps. In dat opzicht werd aangenomen dat slechte software het beoordelingsproces niet zou doorstaan. Deze reputatie kreeg een enorme klap in april 2026 toen beveiligingsonderzoekers 26 frauduleuze cryptocurrency-wallet-apps ontdekten in de App Store; bovendien stal een neppe Ledger-app meer dan 9,5 miljoen dollar van meer dan 50 mensen in minder dan zeven dagen. Deze incidenten leggen een grote tekortkoming bloot in de beveiliging van de App Store, waar cryptocurrency-gebruikers van op de hoogte moeten zijn.

De FakeWallet Campagne

Kaspersky's Threat Intelligence team heeft een gecoördineerde malware-operatie genaamd FakeWallet nauwkeurig geanalyseerd. Deze operatie is terug te voeren tot minimaal herfst 2025 en wordt waarschijnlijk geassocieerd met dezelfde actoren die eerder bekend stonden om SparkKitty — een op iOS gebaseerde malware-operatie die slechts een jaar eerder werd gemeld. De apps waren ontworpen om er precies zo uit te zien en te functioneren als zeven verschillende populaire cryptocurrency-wallets (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken en Bitpie). Ze imiteerden de visuele uitstraling en de lay-out van hun interfaces zodanig dat ze een oppervlakkige inspectie zouden doorstaan — en ze werden voornamelijk gevonden in de Chinese iOS App Store, waar vanwege lokale regelgeving geen officiële cryptocurrency-wallets bestaan. Kwaadwillende actoren probeerden deze lacune te misbruiken door hun applicaties als games/rekenmachines te creëren om Apple's initiële beoordeling te doorstaan en na installatie over te schakelen naar kwaadaardige acties.

Hoe de Aanval Werkt

Zodra gebruikers de kwaadaardige app hebben geïnstalleerd, worden ze omgeleid naar een webpagina die eruitziet als een legitieme Apple App Store-pagina, waarop wordt gevraagd een getrojaniseerde versie van een crypto-wallet-applicatie te downloaden. De pagina vraagt de gebruiker vervolgens om een ontwikkelaarsprofiel te installeren (een legitieme, interne app-distributiemethode voor Apple), dat, eenmaal goedgekeurd, een getrojaniseerde versie van een crypto-wallet op de telefoon van de gebruiker installeert. Nadat de installatie is voltooid, zal de aanval doorgaan, afhankelijk van het type wallet dat wordt aangevallen.

Als de wallet die het slachtoffer gebruikt, geclassificeerd is als een 'hot' wallet, zal de malware het creatie- of herstelscherm van wallets onderscheppen, wachtend om precies vast te leggen wanneer een slachtoffer zijn seed phrase invoert. Als de malware de seed phrase kan vastleggen (en het slachtoffer zou geen idee hebben dat deze is vastgelegd), zouden de kwaadwillende actoren totale, permanente controle hebben over de wallet van het slachtoffer en alles wat daarin is opgeslagen. Dit is niet terug te draaien. De blockchain heeft geen idee hoe de privésleutel is verkregen.

Voor wallets die onder de categorie 'cold' wallet vallen, zoals Ledger, zal de malware een andere aanvalsvector gebruiken om controle te krijgen over de activa in de wallet van het slachtoffer. De legitieme Ledger-smartphone-applicatie vraagt nooit om seed phrases en communiceert alleen met het Ledger-hardware-apparaat (de werkelijke privésleutels worden op dat hardware-apparaat opgeslagen). De malware zal een neppe versie van de Ledger-smartphone-applicatie creëren en stappen voor verificatiedoeleinden aanbieden; de verificatiestappen zullen vragen om de seed phrase van het slachtoffer om het verificatieproces te voltooien. Dit installatieproces is opzettelijk ontworpen om het vertrouwensniveau van het slachtoffer in de legitieme applicatie te misbruiken om veilige toegang tot hun activa te verkrijgen.

Vastgelegde seed phrases worden versleuteld met RSA en verzonden naar door aanvallers beheerde servers. Zodra fondsen zijn leeggehaald, is herstel niet mogelijk.

Het Ledger Incident en de Financiële Schade

Tussen 7 en 13 april heeft een frauduleus aangemaakte Ledger Live-applicatie in de macOS App Store meer dan 50 verschillende slachtoffers opgelicht voor een totale waarde van meer dan $9,5 miljoen. De drie grootste verliezen bestonden uit $3,23 miljoen in USDT, $2,08 miljoen in USDC en $1,95 miljoen in gecombineerde BTC-, ETH- en stETH-types. $7,76 miljoen van de gestolen fondsen werd overgemaakt via 150 afzonderlijke KuCoin stortingsadressen en werden witgewassen via een gecentraliseerde mengdienst genaamd AudiA6, die was ontworpen om elk spoor van transactieactiviteit te verhullen. Eén van de slachtoffers meldde het verlies van het equivalent van 5,9 BTC (10 jaar spaargeld) na het per ongeluk downloaden van een officieel uitziende versie van de applicatie tijdens het configureren van zijn nieuwe computer.

Belangrijke feiten op een rij

Wat Gebruikers Moeten Doen

Na de verantwoorde openbaarmaking van Kaspersky heeft Apple 25 van de 26 FakeWallet-applicaties verwijderd vóór de publicatie van het onderzoek. Nadat een melding van diefstal openbaar werd gemaakt, verwijderde Apple de frauduleuze macOS Ledger-applicatie.

Volgens Kaspersky mag u geen ontwikkelaarsprofiel installeren dat niet is geautoriseerd door uw werkgever voor een legitiem zakelijk doel. U mag uw seed phrase ook niet invoeren in een app die hier onverwachts om vraagt, aangezien echte wallet-applicaties nooit om een seed phrase zullen vragen zonder het gebruik van hun fysieke hardware-apparaten. U moet ook de uitgever van elke applicatie die u downloadt verifiëren door de officiële website van de ontwikkelaar te controleren voordat u de applicatie downloadt, ongeacht of u de applicatie uit de App Store haalt.

De App Store is niet vrij van compromissen. Dit is een goed gedocumenteerd feit, ondersteund door bewijs, en geen theoretische zorg begraven in een beveiligingswhitepaper die de meeste gebruikers niet lezen.