Investigadores de ciberseguridad han descubierto un conjunto de aplicaciones maliciosas en la App Store de Apple que se hacen pasar por carteras de criptomonedas populares en un intento de robar frases de recuperación y claves privadas desde al menos el otoño de 2025.
«Una vez lanzadas, estas aplicaciones redirigen a los usuarios a páginas del navegador diseñadas para parecerse a la App Store y distribuyen versiones troyanizadas de billeteras legítimas», dijo el investigador de Kaspersky Sergey Puzan. dicho. «Las aplicaciones infectadas están diseñadas específicamente para secuestrar frases de recuperación y claves privadas».
Las 26 aplicaciones, denominadas colectivamente Cartera falsaimita varias carteras populares como Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket y Trust Wallet. Desde entonces, Apple ha eliminado muchas de estas aplicaciones tras su divulgación. No hay evidencia de que estas aplicaciones se hayan distribuido a través de Google Play Store.
Si bien las billeteras de criptomonedas maliciosas distribuidas en el pasado a través de sitios web falsos han abusado de los perfiles de aprovisionamiento de iOS para que los usuarios las instalen, el último esquema de robo de criptomonedas es una mejora en varios sentidos. Para empezar, las aplicaciones están disponibles directamente para descargar desde la App Store de Apple si un usuario tiene su cuenta de Apple configurada en China.
Estas aplicaciones tienen íconos que reflejan el original pero tienen errores tipográficos intencionales en sus nombres (por ejemplo, LeddgerNew) para engañar a los usuarios desprevenidos para que las descarguen. En algunos casos, los nombres y los íconos de las aplicaciones no tienen conexión con las criptomonedas. En cambio, se utilizan como marcadores de posición para indicar a los usuarios que descarguen la aplicación de billetera oficial a través de ellos, alegando que «no están disponibles en la App Store» debido a razones regulatorias.
Kaspersky dijo que también identificó varias aplicaciones similares probablemente vinculadas al mismo actor de amenazas que no tienen funciones maliciosas habilitadas, pero que imitan un servicio benigno, como un juego, una calculadora o un planificador de tareas. Una vez iniciadas, estas aplicaciones abren un enlace en el navegador web y aprovechan los perfiles de aprovisionamiento empresarial para instalar la aplicación de billetera en el dispositivo de la víctima.
«Los atacantes han producido una amplia variedad de módulos maliciosos, cada uno adaptado a una billetera específica», dijo Puzan. «En la mayoría de los casos, el malware se distribuye mediante una inyección de biblioteca maliciosa, aunque también nos hemos encontrado con versiones en las que se modificó el código fuente original de la aplicación».
El objetivo final de estas infecciones es buscar frases mnemotécnicas de billeteras frías y calientes y filtrarlas a un servidor externo, lo que permite a los operadores tomar el control de las billeteras de las víctimas y drenar los activos de criptomonedas o iniciar transacciones fraudulentas.
Las frases iniciales se capturan conectando el código responsable de la pantalla donde el usuario ingresa su frase de recuperación o entregando una página de phishing que indica a la víctima que ingrese sus mnemotécnicos como parte de un supuesto paso de verificación.
Se sospecha que la campaña podría ser obra de actores de amenazas vinculados a la campaña del troyano SparkKitty el año pasado, dado que algunas de las aplicaciones infectadas también vienen con un módulo para robar frases de recuperación de billetera mediante reconocimiento óptico de caracteres (OCR), y que ambas campañas parecen ser obra de hablantes nativos de chino y apuntan específicamente a activos de criptomonedas.
«La campaña FakeWallet está ganando impulso mediante el empleo de nuevas tácticas, que van desde entregar cargas útiles a través de aplicaciones de phishing publicadas en la App Store hasta integrarse en aplicaciones de billetera fría y usar sofisticadas notificaciones de phishing para engañar a los usuarios para que revelen sus mnemotécnicos», dijo Kaspersky.
Surge el marco de malware para Android MiningDropper
El descubrimiento se produce cuando Cyble arroja luz sobre un sofisticado marco de distribución de malware para Android conocido como MineríaGotero (también conocido como BeatBanker) que combina la minería de criptomonedas con el robo de información, el acceso remoto y el malware bancario en ataques dirigidos a usuarios en India, así como en América Latina, Europa y Asia como parte de una campaña BTMOB RAT.
MiningDropper se ha distribuido a través de una versión troyanizada del proyecto de aplicación de código abierto para Android lumolighty las campañas utilizan sitios web falsos que se hacen pasar por instituciones bancarias y oficinas regionales de transporte para propagar el malware. Una vez iniciado, activa una secuencia de varias etapas para extraer el minero y las cargas útiles del troyano de un archivo de activos cifrados presente en el paquete.
«MiningDropper emplea una arquitectura de entrega de carga útil de múltiples etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica DEX y técnicas anti-emulación», Cyble dicho. «MiningDropper emplea una arquitectura de entrega de carga útil de múltiples etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica de DEX y técnicas anti-emulación».
«MiningDropper demuestra una arquitectura de malware de Android modular y en capas diseñada para dificultar el análisis estático y al mismo tiempo brindar a los actores de amenazas flexibilidad en la entrega de la carga útil final. Este diseño permite al actor de amenazas reutilizar el mismo marco de distribución e instalación en cientos de muestras mientras adapta el objetivo de monetización final a las necesidades operativas».
