L'azienda di sicurezza informatica Kaspersky ha identificato 26 applicazioni fraudolente di portafogli di criptovalute sull'App Store di Apple, progettate per rubare le risorse digitali degli utenti.
Il team di ricerca sulle minacce dell'azienda ha scoperto che le app imitano popolari portafogli di criptovalute, come MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken e Bitpie, copiandone i nomi e l'immagine coordinata per apparire legittime. Una volta aperte, queste applicazioni reindirizzano gli utenti a pagine di phishing che assomigliano all'interfaccia dell'App Store e li invitano a scaricare una seconda applicazione, che in realtà è un portafoglio infetto da trojan in grado di sottrarre fondi in criptovalute.
Come funziona la truffa
Kaspersky ha affermato che la campagna è attiva almeno dall'autunno del 2025 e, con "moderata certezza", l'ha collegata agli autori di SparkKitty, una variante di malware per iOS già identificata in precedenza. Le versioni ufficiali di molte di queste app di portafoglio non sono disponibili nell'App Store cinese; la maggior parte delle app di phishing rilevate è stata distribuita specificamente agli utenti in Cina, sebbene il payload dannoso non preveda restrizioni regionali. Ciò significa che anche gli utenti al di fuori della Cina potrebbero essere colpiti. Kaspersky ha confermato di aver segnalato ad Apple tutte le app identificate.
Secondo quanto emerso, le app fraudolente includono funzionalità di base e non correlate, come giochi, calcolatrici o gestori di attività, per dare un'apparenza di legittimità e superare un primo esame. Dopo l'installazione, guidano gli utenti attraverso una procedura che apre una falsa pagina web dell'App Store e li incoraggia a scaricare quella che sembra essere l'applicazione di portafoglio digitale prevista.
Questo processo di installazione funziona in modo simile a SparkKitty, utilizzando gli strumenti di sviluppo aziendali di Apple per la distribuzione di app aziendali. Agli utenti viene richiesto di installare un profilo sviluppatore sul proprio dispositivo, che consente loro di installare app al di fuori dell'App Store. Gli aggressori contano sul fatto che gli utenti trascurino questo passaggio, consentendo così l'installazione di software dannoso.
Una volta installate, le applicazioni wallet infette da trojan sono progettate per imitare il comportamento dello specifico wallet che impersonano. Prendono di mira sia i wallet online (hot wallet) che quelli offline (cold wallet).
Sergey Puzan, esperto di malware per dispositivi mobili di Kaspersky, ha affermato che, sebbene le app stesse possano non contenere codice dannoso, fungono da punti di ingresso in una catena di attacchi più ampia che in definitiva porta all'installazione di malware. Il ricercatore ha inoltre avvertito:
"Pagando una commissione e creando un account sviluppatore, gli aggressori possono prendere di mira qualsiasi dispositivo iOS se l'utente cade vittima della tattica di phishing. Gli utenti dovrebbero essere consapevoli dei rischi legati alla gestione dei propri portafogli di criptovalute, anche su dispositivi che considerano sicuri, come gli iPhone. Prevediamo che potrebbero essere distribuite altre app di criptovalute infette da trojan con una tattica simile."
Dispositivo di contraffazione del registro contabile
L'ultimo rapporto arriva pochi giorni dopo che un dispositivo Ledger Nano S Plus contraffatto, venduto tramite un marketplace online, è stato smascherato come parte di una sofisticata operazione di phishing progettata per rubare le credenziali dei portafogli di criptovalute da un ricercatore brasiliano di sicurezza informatica. Il dispositivo, commercializzato e prezzato come un prodotto ufficiale, inizialmente sembrava autentico, ma non ha superato la verifica quando è stato collegato a Ledger Live.
Aprendo il dispositivo, il ricercatore ha trovato componenti interni che non corrispondevano all'hardware legittimo, tra cui un chip con le marcature rimosse e antenne Wi-Fi e Bluetooth aggiuntive non presenti nei portafogli Ledger autentici. Un'ulteriore analisi del firmware ha rivelato che sia i codici PIN che le frasi di recupero erano memorizzati in chiaro, insieme a riferimenti a server esterni, indicando che il dispositivo era stato progettato per acquisire e trasmettere dati sensibili.
Il ricercatore ha riconosciuto che questo attacco non si basa su alcuna falla nella sicurezza di Ledger, ma utilizza invece dispositivi falsi, app dannose e tecniche di phishing per colpire gli utenti.
L'articolo "Utenti iPhone, attenzione: Kaspersky segnala 26 app di portafogli di criptovalute false che potrebbero prosciugare i vostri fondi" è apparso per la prima volta su CryptoPotato .