Apps falsas de criptomonedas se infiltraron en App Store y buscaban vaciar billeteras digitales

Una campaña de fraude digital logró infiltrarse en la App Store de Apple mediante aplicaciones que se hacían pasar por billeteras de criptomonedas. El equipo de Threat Research de Kaspersky identificó 26 apps falsas que imitaban plataformas conocidas y que redirigían a los usuarios a páginas fraudulentas, diseñadas para inducir la instalación de versiones manipuladas con capacidad de tomar control sobre los activos digitales de las víctimas.

La operación, activa al menos desde finales de 2025, estaría vinculada con actores relacionados con SparkKitty, de acuerdo con los hallazgos de la compañía de ciberseguridad. Las aplicaciones identificadas suplantaban servicios como MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie, replicando íconos y nombres similares para aparentar legitimidad ante los usuarios.

Aunque la campaña estaba dirigida a un público específico, Kaspersky advirtió que las aplicaciones maliciosas no tenían restricciones geográficas, por lo que usuarios en cualquier país podían verse expuestos. La compañía informó que reportó todos los casos a Apple.

El mecanismo de engaño combinaba una fachada inicial con un segundo paso de instalación. Algunas de las aplicaciones incorporaban funciones básicas, como juegos, calculadoras o listas de tareas, para parecer legítimas. Al abrirse, redirigían a una página que imitaba la App Store e invitaba al usuario a volver a descargar la supuesta billetera de criptomonedas.

El proceso aprovechaba herramientas legítimas del sistema de Apple destinadas a empresas. En lugar de instalar directamente una aplicación maliciosa desde la tienda oficial, los usuarios eran llevados a una página que les solicitaba instalar un “perfil de desarrollador” en el iPhone, un procedimiento usado normalmente para aplicaciones corporativas internas. Una vez aceptado ese permiso, el dispositivo quedaba habilitado para instalar aplicaciones externas a la tienda.

En ese punto se introducía la aplicación falsa. El usuario descargaba lo que parecía ser una billetera legítima, aunque en realidad se trataba de una versión adulterada con un troyano diseñado para capturar información sensible y permitir el acceso a los fondos digitales.

Kaspersky explicó que las aplicaciones maliciosas estaban adaptadas al tipo de billetera que suplantaban. En el caso de las billeteras calientes, conocidas como hot wallets, el malware interceptaba la pantalla de recuperación o creación de la cuenta y monitoreaba las frases semilla. Si la víctima ingresaba esa información, los atacantes obtenían acceso total a los fondos.

Con las billeteras frías, o cold wallets, la táctica era distinta. En servicios como Ledger, la aplicación móvil funciona como interfaz y el dispositivo físico conserva las claves privadas fuera de línea. La aplicación legítima no debería solicitar la frase semilla, ya que esta se mantiene en el hardware separado. La versión falsa, en cambio, usaba phishing para intentar que el usuario entregara esa información.

“Estas aplicaciones no parecen peligrosas al inicio, pero funcionan como una puerta de entrada. El engaño lleva al usuario, paso a paso, a instalar una app falsa que termina siendo un virus diseñado para robar sus criptomonedas”, señaló María Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.

Para reducir el riesgo, Kaspersky recomendó no hacer clic en enlaces dentro de aplicaciones si llevan a páginas inesperadas, no aceptar perfiles o permisos desconocidos en el celular, evitar compartir contraseñas o códigos de recuperación en páginas no verificadas y revisar que cualquier aplicación provenga del desarrollador oficial antes de instalarla.

Lea también: Aquí está todo lo que de repente está saliendo mal para OpenAI de Sam Altman