Mais de vinte aplicativos disfarçados de carteiras de criptomoedas populares foram encontrados na App Store em março de 2026. Os apps passaram pelos filtros da Apple e chegaram a aparecer no topo dos resultados de busca, o que por si só já reduz a desconfiança do usuário.
A descoberta foi feita pela Kaspersky, que identificou 26 aplicativos imitando carteiras como MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken e Bitpie. Todos os casos foram reportados à Apple, e parte dos apps já foi removida.
Lacuna no mercado chinês abriu espaço para o golpe
O esquema aproveita uma restrição do mercado chinês. Muitos apps oficiais de carteiras cripto estão indisponíveis para usuários com Apple ID configurado para a região da China. Golpistas criaram apps falsos com ícones quase idênticos aos originais e nomes levemente errados, técnica conhecida como typosquatting, para escapar dos filtros da loja.
Em alguns casos, o app não tinha nenhuma relação visual com criptomoedas. Mesmo assim, exibia banners afirmando que a carteira oficial estava indisponível e oferecia um substituto para download.
Ao abrir o app, o usuário era redirecionado para uma página no navegador que simulava a aparência da App Store. A partir daí, o golpe usava perfis de provisionamento empresarial para instalar versões infectadas das carteiras no dispositivo.
Esse recurso foi criado pela Apple para que empresas distribuam apps internamente, sem passar pela loja oficial. É um mecanismo legítimo, mas que golpistas já usam há anos para distribuir malware fora dos controles da loja.
O que o malware faz depois de instalado
Em hot wallets, carteiras que armazenam as chaves privadas diretamente no dispositivo, o malware substitui métodos legítimos do código original por versões maliciosas. Basicamente, ele monitora a tela em que o usuário digita a frase de recuperação, extrai as palavras, criptografa os dados com RSA e os envia para um servidor controlado pelos atacantes.
No caso da Trust Wallet, a técnica foi diferente. Os atacantes inseriram uma seção executável diretamente no código principal do app, criando funções que sequestram os métodos acionados quando o usuário tenta restaurar ou criar uma carteira. O resultado é o mesmo, a seed phrase vai parar nas mãos dos criminosos.
O ataque à Ledger segue outra lógica
A Ledger é uma cold wallet. As chaves privadas ficam em um dispositivo físico separado, nunca exposto à internet. Como não há seed phrase digitada diretamente no app, o malware recorreu a phishing dentro da própria interface.
Foram encontradas duas versões infectadas da Ledger Live. Em uma delas, o app exibia uma notificação falsa exigindo uma verificação de segurança. Ao clicar, o usuário via uma página que imitava o visual do app com precisão, inclusive com autocomplete das palavras da frase de recuperação, para parecer mais legítima.
A segunda versão atuava diretamente no código-fonte do app, escrito em React Native. Isso dispensava bibliotecas específicas para cada sistema operacional e permitia reaproveitar o módulo malicioso em Android.
A Kaspersky também identificou versões comprometidas de carteiras Android distribuídas pelas mesmas páginas de phishing, embora nenhuma tenha sido encontrada na Google Play Store.
Campanha ativa desde o fim de 2025
Metadados do malware indicam que a campanha estava em operação pelo menos desde o outono de 2025, funcionando por meses sem ser detectada. Embora o foco inicial sejam usuários na China, os módulos maliciosos não têm restrições regionais. Algumas variantes adaptam automaticamente o idioma das notificações de phishing conforme o idioma configurado no dispositivo.
A Kaspersky aponta uma possível ligação entre os responsáveis por essa campanha e os criadores do Trojan SparkKitty. Alguns dos apps infectados continham módulos do SparkKitty, ambas as campanhas usam páginas de phishing que imitam a App Store e os logs internos do malware estão escritos em chinês.
Os produtos Kaspersky detectam a ameaça como HEUR:Trojan-PSW.IphoneOS.FakeWallet.* e HEUR:Trojan.IphoneOS.FakeWallet.*.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.