FakeWallet: Aplicativos Maliciosos no App Store Chinês Roubavam Criptomoedas
Pesquisadores da Kaspersky descobriram uma campanha maliciosa, chamada FakeWallet, no App Store chinês, que distribuía aplicativos de phishing disfarçados de carteiras de criptomoedas populares. Os aplicativos roubavam as frases semente dos usuários, comprometendo suas carteiras e fundos.
MundiX News·09 de maio de 2026·2 min de leitura·👁 4 views
Especialistas da Kaspersky detectaram uma campanha maliciosa, denominada FakeWallet, no App Store chinês. A campanha consistia em 26 aplicativos de phishing que se passavam por carteiras de criptomoedas populares, como MetaMask, Coinbase, Trust Wallet, Ledger, TokenPocket, imToken e Bitpie, com o objetivo de roubar as frases semente dos usuários.
Os criminosos se aproveitaram do fato de que os aplicativos originais de criptomoedas não estão disponíveis na China devido a restrições regionais. Os aplicativos falsos utilizavam ícones e nomes semelhantes aos originais, com erros de digitação intencionais (typosquatting). Alguns aplicativos nem sequer tentavam se disfarçar, apresentando-se como jogos ou calculadoras, mas com descrições que indicavam que o "aplicativo oficial da carteira não está disponível na App Store e pode ser baixado por meio deste aplicativo". Ao serem executados, os aplicativos falsos abriam páginas de phishing em navegadores, estilizadas como a App Store, oferecendo aos usuários a instalação de versões trojanizadas das carteiras por meio de perfis de provisionamento. Esse mecanismo legítimo de empresa iOS é frequentemente usado para sideloading de malware, como foi visto na operação SparkKitty.
De acordo com os pesquisadores, os módulos maliciosos eram incorporados aos aplicativos de duas maneiras: por meio da injeção de uma biblioteca maliciosa no arquivo executável ou pela modificação direta do código-fonte. O malware interceptava as mnemônicas nas telas de criação ou restauração da carteira, criptografava-as usando o algoritmo RSA sob o esquema PKCS #1, codificava-as em Base64 e as enviava para um servidor de comando e controle, juntamente com metadados. Para carteiras frias (como Ledger), uma abordagem separada foi usada - phishing clássico. O malware mostrava à vítima uma "notificação de verificação de segurança" falsa, pedindo que o usuário inserisse a frase semente. A página de phishing suportava o preenchimento automático de mnemônicas por um dicionário BIP-39, tornando-a mais convincente. Em outra variante, o código malicioso foi injetado diretamente na parte React Native do aplicativo, permitindo que o mesmo módulo fosse usado em diferentes plataformas. A janela de phishing aparecia somente após o emparelhamento da carteira fria com o aplicativo (os especialistas afirmam que esta era uma espécie de proteção contra depuração).
A campanha FakeWallet visava principalmente usuários chineses, mas os módulos maliciosos em si não continham restrições regionais, e as notificações de phishing se adaptavam ao idioma do aplicativo comprometido. Além disso, os pesquisadores descobriram um site de phishing que imitava o site oficial da Ledger e versões infectadas de carteiras para Android (mas não na Google Play Store). Foi observado que vários aplicativos infectados continham módulos SparkKitty adicionais, indicando uma possível ligação entre os operadores dessas duas campanhas. Em ambos os casos, os autores, a julgar pelas mensagens de log em chinês, são falantes nativos desse idioma. Após a notificação da Apple sobre o problema, todos os 26 aplicativos FakeWallet foram removidos da App Store.
Especialistas da Kaspersky detectaram uma campanha maliciosa, denominada FakeWallet, no App Store chinês. A campanha consistia em 26 aplicativos de phishing que se passavam por carteiras de criptomoedas populares, como MetaMask, Coinbase, Trust Wallet, Ledger, TokenPocket, imToken e Bitpie, com o objetivo de roubar as frases semente dos usuários.
Os criminosos se aproveitaram do fato de que os aplicativos originais de criptomoedas não estão disponíveis na China devido a restrições regionais. Os aplicativos falsos utilizavam ícones e nomes semelhantes aos originais, com erros de digitação intencionais (typosquatting). Alguns aplicativos nem sequer tentavam se disfarçar, apresentando-se como jogos ou calculadoras, mas com descrições que indicavam que o "aplicativo oficial da carteira não está disponível na App Store e pode ser baixado por meio deste aplicativo". Ao serem executados, os aplicativos falsos abriam páginas de phishing em navegadores, estilizadas como a App Store, oferecendo aos usuários a instalação de versões trojanizadas das carteiras por meio de perfis de provisionamento. Esse mecanismo legítimo de empresa iOS é frequentemente usado para sideloading de malware, como foi visto na operação SparkKitty.
De acordo com os pesquisadores, os módulos maliciosos eram incorporados aos aplicativos de duas maneiras: por meio da injeção de uma biblioteca maliciosa no arquivo executável ou pela modificação direta do código-fonte. O malware interceptava as mnemônicas nas telas de criação ou restauração da carteira, criptografava-as usando o algoritmo RSA sob o esquema PKCS #1, codificava-as em Base64 e as enviava para um servidor de comando e controle, juntamente com metadados. Para carteiras frias (como Ledger), uma abordagem separada foi usada - phishing clássico. O malware mostrava à vítima uma "notificação de verificação de segurança" falsa, pedindo que o usuário inserisse a frase semente. A página de phishing suportava o preenchimento automático de mnemônicas por um dicionário BIP-39, tornando-a mais convincente. Em outra variante, o código malicioso foi injetado diretamente na parte React Native do aplicativo, permitindo que o mesmo módulo fosse usado em diferentes plataformas. A janela de phishing aparecia somente após o emparelhamento da carteira fria com o aplicativo (os especialistas afirmam que esta era uma espécie de proteção contra depuração).
A campanha FakeWallet visava principalmente usuários chineses, mas os módulos maliciosos em si não continham restrições regionais, e as notificações de phishing se adaptavam ao idioma do aplicativo comprometido. Além disso, os pesquisadores descobriram um site de phishing que imitava o site oficial da Ledger e versões infectadas de carteiras para Android (mas não na Google Play Store). Foi observado que vários aplicativos infectados continham módulos SparkKitty adicionais, indicando uma possível ligação entre os operadores dessas duas campanhas. Em ambos os casos, os autores, a julgar pelas mensagens de log em chinês, são falantes nativos desse idioma. Após a notificação da Apple sobre o problema, todos os 26 aplicativos FakeWallet foram removidos da App Store.
