FakeWallet: Aplicaciones falsas en la App Store de Apple roban frases semilla de criptomonedas

Investigadores de ciberseguridad han descubierto un conjunto de aplicaciones maliciosas en la App Store de Apple que suplantan la identidad de populares monederos de criptomonedas con el objetivo de robar frases de recuperación y claves privadas desde al menos otoño de 2025.

"Una vez instaladas, estas aplicaciones redirigen a los usuarios a páginas web diseñadas para parecerse a la App Store y distribuyen versiones troyanizadas de monederos legítimos", declaró Sergey Puzan, investigador de Kaspersky. "Las aplicaciones infectadas están diseñadas específicamente para secuestrar frases de recuperación y claves privadas".

Las 26 aplicaciones, denominadas colectivamente FakeWallet, imitan varios monederos populares como Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket y Trust Wallet. Muchas de estas aplicaciones fueron retiradas por Apple tras su descubrimiento. No hay evidencia de que estas aplicaciones se hayan distribuido a través de Google Play Store.

Si bien los monederos de criptomonedas maliciosos distribuidos anteriormente a través de sitios web falsos abusaban de los perfiles de aprovisionamiento de iOS para que los usuarios los instalaran, este último esquema de robo de criptomonedas representa una mejora en varios aspectos. Para empezar, las aplicaciones están disponibles para su descarga directa desde la App Store de Apple si el usuario tiene su cuenta de Apple configurada para China.

Estas aplicaciones tienen iconos que imitan a las originales, pero con errores tipográficos intencionados en sus nombres (por ejemplo, LeddgerNew) para engañar a los usuarios desprevenidos y que las descarguen. En algunos casos, los nombres e iconos de las aplicaciones no tienen ninguna relación con las criptomonedas. En cambio, se utilizan como perfilamiento para redirigir a los usuarios a descargar la aplicación oficial de la billetera a través de ellas, alegando que no están disponibles en la App Store por motivos regulatorios.

Kaspersky afirmó haber identificado también varias aplicaciones similares, probablemente vinculadas al mismo actor malicioso, que no tienen las funciones maliciosas habilitadas, pero que imitan un servicio inofensivo, como un juego, una calculadora o un planificador de tareas. Una vez iniciadas, estas aplicaciones abren un enlace en el navegador web y aprovechan los perfiles de aprovisionamiento empresarial para instalar la aplicación de la billetera en el dispositivo de la víctima.

"Los atacantes han creado una amplia variedad de módulos maliciosos, cada uno adaptado a una billetera específica. En la mayoría de los casos, el malware se distribuye mediante la inyección de una biblioteca maliciosa, aunque también nos hemos encontrado con versiones en las que se modificó el código fuente original de la aplicación."

El objetivo final de estas infecciones es obtener frases mnemotécnicas de monederos tanto activos como inactivos y extraerlas a un servidor externo, lo que permite a los atacantes tomar el control de los monederos de las víctimas y robar criptomonedas o realizar transacciones fraudulentas.

Las frases semilla se capturan interceptando el código de la pantalla donde el usuario introduce su frase de recuperación o mediante una página de phishing que solicita a la víctima que introduzca su frase mnemotécnica como parte de un supuesto proceso de verificación.

Se sospecha que la campaña podría ser obra de ciberdelincuentes vinculados a la campaña del troyano SparkKitty del año pasado, dado que algunas de las aplicaciones infectadas también incluyen un módulo para robar frases de recuperación de monederos mediante reconocimiento óptico de caracteres (OCR), y que ambas campañas parecen ser obra de hablantes nativos de chino y se dirigen específicamente a las criptomonedas.

"La campaña FakeWallet está cobrando fuerza mediante nuevas tácticas, que van desde la distribución de malware a través de aplicaciones de phishing publicadas en la App Store hasta su integración en aplicaciones de monederos fríos y el uso de sofisticadas notificaciones de phishing para engañar a los usuarios y que revelen sus contraseñas", declaró Kaspersky.

Surge el marco de malware MiningDropper para Android

Este descubrimiento se produce cuando Cyble revela un sofisticado marco de distribución de malware para Android conocido como MiningDropper (también conocido como BeatBanker), que combina la minería de criptomonedas con el robo de información, el acceso remoto y malware bancario en ataques dirigidos a usuarios en India, así como en Latinoamérica, Europa y Asia, como parte de la campaña BTMOB RAT.

MiningDropper se ha distribuido mediante una versión troyanizada del proyecto de aplicación de código abierto para Android Lumolight. Las campañas utilizan sitios web falsos que suplantan la identidad de instituciones bancarias y oficinas de transporte regionales para propagar el malware. Una vez ejecutado, activa una secuencia de varias etapas para extraer el minero y el malware troyano de un archivo de activos cifrados dentro del paquete.

"MiningDropper emplea una arquitectura de entrega de carga útil en varias etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica en DEX y técnicas antiemulación", afirmó Cyble. "MiningDropper emplea una arquitectura de entrega de carga útil en varias etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica en DEX y técnicas antiemulación".

MiningDropper demuestra una arquitectura de malware para Android modular y por capas, diseñada para dificultar el análisis estático a la vez que ofrece a los ciberdelincuentes flexibilidad en la entrega final de la carga útil. Este diseño permite al ciberdelincuente reutilizar el mismo marco de distribución e instalación en cientos de muestras, adaptando el objetivo de monetización final a las necesidades operativas.

Fuente: THN

Suscríbete a nuestro Boletín