A Kaspersky identificou 26 aplicativos fraudulentos voltados a usuários do sistema iOS que se disfarçam de carteiras de criptomoedas legítimas e podem levar ao roubo de ativos digitais. Ao serem abertos, esses aplicativos redirecionam as vítimas para páginas falsas que imitam lojas de aplicativos e induzem ao download de carteiras comprometidas com programas maliciosos capazes de esvaziar fundos em criptomoedas. A campanha identificada pela empresa de cibersegurança está ativa desde, pelo menos, o quarto trimestre de 2025. Veja abaixo como se proteger.
Cada um dos 26 aplicativos identificados imitava uma carteira de criptomoedas popular, replicando elementos visuais como ícones e utilizando nomes semelhantes para enganar pessoas.
Aplicativo de phishing disponível na loja de aplicativo de usuários de IOS
Embora os aplicativos oficiais dessas carteiras não estivessem disponíveis em determinadas regiões, quase todos os aplicativos falsos detectados tinham como alvo usuários chineses de iOS. No entanto, os próprios aplicativos maliciosos não possuem restrições geográficas e podem afetar vítimas em qualquer país. A Kaspersky já reportou todos os aplicativos identificados às autoridades responsáveis.
Página da Web que imita um convite para baixar uma carteira digital
Aplicativos de jogos, calculadoras e gerenciadores de listas de tarefas apresentam funcionalidades básicas apenas para parecerem legítimos e servirem como isca para atividades maliciosas. Quando baixados e executados, eles abrem uma página da web que imita a App Store e incentivam o usuário a baixar um “aplicativo” para gerenciamento de criptomoedas.
O processo de instalação é semelhante ao utilizado pelo SparkKitty, malware para iOS descrito anteriormente pela Kaspersky, que utiliza ferramentas de desenvolvimento corporativo para distribuir aplicativos maliciosos. Nesse caso, o objetivo é confundir o usuário e induzi-lo a instalar um perfil de desenvolvedor no dispositivo, o que permite a instalação de aplicativos externos e potencialmente maliciosos.
As vítimas permitem que o perfil de desenvolvedor seja instalado no dispositivo, o que, por sua vez, possibilita a instalação de aplicativos externos à loja de aplicativos, incluindo aplicativos maliciosos
Como resultado, uma carteira de criptomoedas com programa malicioso é instalada no dispositivo. Cada aplicativo malicioso é adaptado à carteira específica que imita e pode atingir tanto as chamadas “hot wallets” (carteiras digitais conectadas à internet) quanto “cold wallets” (dispositivos físicos que armazenam criptomoedas offline).
As carteiras digitais conectadas à internet são mais práticas para o uso frequente, mas também mais vulneráveis a ataques. Nesse caso, o malware intercepta informações exibidas na tela durante a criação ou recuperação da carteira e, se obtidas, dão aos criminosos acesso total aos fundos da vítima.
Já os dispositivos físicos mantêm os dados de acesso offline, oferecendo mais segurança. No entanto, os criminosos utilizam páginas falsas para enganar usuários e obter essas informações. Um exemplo é uma carteira de criptomoedas que utiliza um aplicativo complementar no smartphone para gerenciar transações, enquanto a aprovação final ocorre no dispositivo físico. O aplicativo legítimo nunca solicita códigos de recuperação, mas a versão maliciosa simula esse processo para capturar as informações da vítima.
“Embora os aplicativos que iniciam essa cadeia de ataque não sejam inerentemente maliciosos, eles acabam levando o usuário a instalar um programa malicioso. Ao pagar uma taxa e configurar uma conta de desenvolvedor, os cibercriminosos conseguem atingir qualquer dispositivo iOS; basta que a vítima caia na tática de phishing. Os usuários devem estar atentos aos riscos relacionados ao gerenciamento de carteiras de criptomoedas, mesmo em dispositivos que consideram seguros. A expectativa é que esse tipo de golpe continue evoluindo e que mais aplicativos maliciosos sejam distribuídos por meio de táticas semelhantes”, comenta Leandro Cuozzo, analista de Segurança do time Global de Pesquisa e Análise para América Latina da Kaspersky.
Para se proteger, a Kaspersky recomenda:
- Tenha cuidado ao clicar em links dentro dos aplicativos, especialmente quando uma página aparece inesperadamente.
- Não instale perfis de desenvolvedor, a menos que sejam fornecidos pelo seu empregador.
- Certifique-se de inserir sua frase de recuperação apenas no seu dispositivo principal, por exemplo, o aplicativo original nunca a solicitará.
- Sempre verifique se o aplicativo que você está instalando é de um desenvolvedor legítimo, mesmo quando baixado da App Store. É uma boa prática verificar os links de download no site oficial do desenvolvedor.
Informações detalhadas estão disponíveis no Secure List.
Fonte: https://www.kaspersky.com.br/about/press-releases/