- A Kaspersky identificou vinte e seis aplicativos falsos para iPhone que se passam por carteiras de criptomoedas.
- Ao abrir, os apps redirecionam para páginas falsas que parecem lojas de apps e induzem o download de carteiras com malware que pode esvaziar fundos.
- A campanha está ativa desde, pelo menos, o quarto trimestre de 2025; cada app imita uma carteira popular, usando ícones e nomes parecidos.
- Embora muitos golpes visem usuários chineses de iOS, os aplicativos maliciosos não possuem restrições geográficas e podem afetar pessoas em qualquer país; as autoridades já foram informadas.
- O ataque pede a instalação de um perfil de desenvolvedor para distribuir apps externos; o malware pode interceptar informações na tela durante a criação ou recuperação da carteira e obter acesso aos fundos.
O laboratório de segurança da Kaspersky identificou 26 aplicativos falsos voltados a usuários de iPhone. Eles se passam por carteiras de criptomoedas e podem levar ao roubo de ativos digitais. A campanha está ativa desde o quarto trimestre de 2025, segundo a empresa.
Os apps imitam carteiras populares, copiando ícones e nomes similares para enganar usuários. Ao abrir, direcionam para lojas de apps falsas que pedem o download de carteiras comprometidas com malware. O objetivo é instalar um perfil de desenvolvedor no dispositivo.
A maior parte dos alvos são usuários chineses de iOS, mas as ferramentas maliciosas não possuem restrições geográficas. A Kaspersky informou todas as aplicações às autoridades competentes e alerta sobre a facilidade de propagação por meio de redes de desenvolvimento corporativo.
Como o malware atua
O método de instalação se aproxima do utilizado pelo SparkKitty, com distribuição por meio de perfis de desenvolvedor. Ao instalar, o usuário aceita apps externos potencialmente maliciosos, abrindo caminho para a carteira comprometida.
Cada aplicativo malicioso funciona com uma carteira específica, atingindo tanto hot wallets quanto cold wallets. Em carteiras conectadas à internet, o malware pode capturar informações exibidas na tela durante a criação ou recuperação, permitindo acesso aos fundos.
Dispositivos offline apresentam maior proteção, mas falsas páginas continuam induzindo usuários a fornecer credenciais. Em alguns casos, o app malicioso simula processos de aprovação que, na prática, capturam dados sensíveis.
Leandro Cuozzo, analista da Kaspersky, afirma que os apps inocentes que iniciam a cadeia não são intrinsecamente maliciosos, mas direcionam o usuário a instalar software nocivo. A cobrança de uma taxa para configurar uma conta de desenvolvedor facilita o ataque.
Como se proteger
A Kaspersky recomenda cautela ao lidar com conteúdos digitais e apps: evitar cliques em links suspeitos, especialmente quando as páginas aparecem de forma inesperada. Perfis de desenvolvedor desconhecidos devem ser evitados, salvo se a origem for confiável, como por fornecimento empresarial.
Nunca inserir a frase de recuperação fora do dispositivo principal, pois apps legítimos não solicitam esse dado. Verifique a autenticidade dos desenvolvedores, mesmo em lojas oficiais, conferindo os links de download nos sites oficiais das empresas.
Entre na conversa da comunidade