Carteiras Cripto Falsas Projetadas para Drenar Ativos Digitais Identificadas na App Store da Apple
ra****@gmail.com2026-05-07
A Kaspersky encontrou 26 aplicativos falsos de carteira cripto na App Store iOS que roubavam frases-semente. Um aplicativo falso da Ledger separado drenou US$ 9,5 milhões de mais de 50 vítimas em menos de uma semana por meio do mixer AudiA6.
A App Store sempre teve uma forte reputação como um local seguro para baixar aplicativos. Nesse sentido, acreditava-se que softwares maliciosos não conseguiriam passar pelo processo de revisão. Essa reputação sofreu um golpe significativo em abril de 2026, quando pesquisadores de segurança descobriram 26 aplicativos fraudulentos de carteiras de criptomoedas na App Store; além disso, um aplicativo Ledger falso roubou mais de 9,5 milhões de dólares de mais de 50 pessoas em menos de sete dias. Esses incidentes expõem uma grande deficiência na segurança da App Store que os usuários de criptomoedas devem estar cientes.
A Campanha FakeWallet
A equipe de Inteligência de Ameaças da Kaspersky analisou de perto uma operação de malware coordenada chamada FakeWallet. Essa operação foi rastreada até o período mínimo do Outono de 2025 e provavelmente está associada aos mesmos atores previamente conhecidos por SparkKitty — uma operação de malware baseada em iOS relatada apenas um ano antes. Os aplicativos foram projetados para se parecerem e agirem exatamente como sete diferentes carteiras de criptomoedas populares (MetaMask, Coinbase, Ledger, Trust Wallet, TokenPocket, imToken e Bitpie). Eles imitavam a aparência visual e o layout de suas interfaces para passar por uma análise superficial — e foram encontrados principalmente na App Store chinesa para iOS, onde nenhuma carteira de criptomoedas oficial existe devido a regulamentações locais. Atores maliciosos buscaram explorar essa lacuna criando seus aplicativos como jogos/calculadoras para passar na revisão inicial da Apple e mudar para uma ação maliciosa após a instalação.
Como o Ataque Funciona
Uma vez que os usuários instalam o aplicativo malicioso, ele os redirecionará para uma página da web feita para parecer uma página legítima da Apple App Store, solicitando que baixem o que é realmente uma versão trojanizada de um aplicativo de carteira de criptomoedas. A página então solicita ao usuário que instale um perfil de desenvolvedor (um método legítimo e interno de distribuição de aplicativos para a Apple) que, uma vez aprovado, instalará uma versão trojanizada de uma carteira de criptomoedas no telefone do usuário. Após a conclusão da instalação, o ataque prosseguirá dependendo do tipo de carteira atacada.
Se a carteira que a vítima está usando for classificada como uma carteira 'quente', o malware irá interceptar a tela de criação ou recuperação de carteiras, aguardando para capturar exatamente quando uma vítima insere sua frase semente. Se o malware for capaz de capturar a frase semente (e a vítima não teria como saber que foi capturada), os atores maliciosos teriam controle total e permanente da carteira da vítima e de tudo armazenado dentro dessa carteira. Não há como reverter isso. A blockchain não tem ideia de como a chave privada foi obtida.
Para carteiras que se enquadram na categoria de carteira 'fria', como a Ledger, o malware usará um vetor de ataque diferente para obter controle sobre os ativos da carteira da vítima. O aplicativo legítimo da Ledger para smartphone nunca pede frases semente e interage apenas com o dispositivo de hardware Ledger (as chaves privadas reais são armazenadas nesse dispositivo de hardware). O malware criará uma versão falsa do aplicativo Ledger para smartphone e fornecerá etapas para fins de verificação; as etapas de verificação pedirão a frase semente da vítima para completar o processo de verificação. Este processo de instalação é intencionalmente projetado para abusar do nível de confiança da vítima no aplicativo legítimo para obter acesso seguro aos seus ativos.
Frases semente capturadas são criptografadas usando RSA e transmitidas para servidores controlados por atacantes. Uma vez que os fundos são drenados, a recuperação não é possível.
O Incidente da Ledger e os Danos Financeiros
Entre 7 e 13 de abril, um aplicativo Ledger Live criado fraudulentamente na App Store do macOS fraudou mais de 50 vítimas diferentes em um valor total superior a US$ 9,5 milhões. As três maiores perdas consistiram em US$ 3,23 milhões em USDT, US$ 2,08 milhões em USDC e US$ 1,95 milhão em tipos combinados de BTC, ETH e stETH. US$ 7,76 milhões dos fundos roubados foram transferidos através de 150 endereços de depósito separados da KuCoin e foram lavados via um serviço de mixing centralizado chamado AudiA6, projetado para ofuscar qualquer rastro de atividade de transação. Uma das vítimas relatou a perda do equivalente a 5.9 BTC (10 anos de economias) após baixar por engano uma versão com aparência oficial do aplicativo enquanto configurava seu novo computador.
Fatos Chave em Destaque
O Que os Usuários Devem Fazer
Após a divulgação responsável da Kaspersky, a Apple removeu 25 dos 26 aplicativos FakeWallet antes da publicação de sua pesquisa. Após um relatório de roubo ter sido tornado público, a Apple removeu o aplicativo fraudulento Ledger para macOS.
De acordo com a Kaspersky, você não deve instalar nenhum perfil de desenvolvedor que não seja autorizado por seu empregador para um propósito comercial legítimo. Você também não deve inserir sua frase semente em nenhum aplicativo que a solicite inesperadamente, já que aplicativos de carteira reais nunca solicitarão uma frase semente sem o uso de seus dispositivos de hardware físicos. Você também deve verificar o editor de cada aplicativo que baixa, consultando o site oficial do desenvolvedor antes de baixar o aplicativo, independentemente de você estar obtendo o aplicativo da App Store.
A App Store não está livre de comprometimentos. Este é um fato bem documentado e apoiado por evidências, não uma preocupação teórica enterrada em um white paper de segurança que a maioria dos usuários não lê.
