Campanha FakeWallet usou 26 aplicativos para iOS que imitavam carteiras populares, redirecionavam usuários para fluxos trojanizados e tentavam capturar frases de recuperação de carteiras quentes e frias.
| Componente | 26 aplicativos FakeWallet para iOS publicados na Apple App Store, imitando carteiras como Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket e Trust Wallet. |
| Vetor | Usuários com conta Apple configurada para a China podiam baixar apps falsos na App Store; após abertos, eles redirecionavam para páginas web ou instaladores que imitavam fluxos legítimos de carteiras. |
| Impacto | Captura de frases mnemônicas de recuperação e chaves privadas, com risco de tomada de controle de carteiras e transações fraudulentas. |
| Prioridade | Remover apps suspeitos, validar a origem da carteira instalada, revogar carteiras expostas e migrar fundos para carteiras novas quando a frase-semente tiver sido inserida em fluxo não confiável. |
| Artefatos | Nomes com erros intencionais, como LeddgerNew, ícones semelhantes aos originais, páginas de phishing e módulos específicos para diferentes carteiras. |
| Limite observado | Não há evidência no contexto de distribuição desses apps pela Google Play Store. |
A campanha FakeWallet envolve 26 aplicativos maliciosos encontrados na Apple App Store com o objetivo de capturar frases de recuperação e chaves privadas de usuários de criptomoedas. Os apps imitavam carteiras conhecidas e exploravam a confiança do usuário na loja oficial para reduzir a suspeita inicial. A atividade é descrita como em andamento desde pelo menos o outono de 2025 no hemisfério norte, com foco em carteiras cripto e em fluxos de recuperação sensíveis, onde uma única frase mnemônica permite restaurar o controle completo do ativo em outro dispositivo.
O diferencial técnico da campanha é a combinação de presença na App Store, falsificação visual de marcas legítimas e redirecionamento para páginas ou versões trojanizadas de carteiras. Em vez de depender somente de sites falsos e perfis de provisionamento usados em campanhas anteriores contra iOS, os operadores conseguiram colocar aplicativos diretamente disponíveis para contas Apple configuradas para a China. Muitos desses aplicativos foram removidos após a divulgação, mas a exposição anterior continua relevante porque frases-semente inseridas nesses fluxos devem ser tratadas como comprometidas.
Os aplicativos usavam ícones semelhantes aos originais e nomes com erros intencionais para induzir a instalação por usuários que buscavam carteiras legítimas. Em alguns casos, o nome e o ícone sequer tinham relação direta com criptomoedas: o app funcionava como fachada, alegando que a carteira oficial estaria indisponível na App Store por motivos regulatórios e conduzindo o usuário a um fluxo externo. Essa técnica reduz a fricção social do ataque porque desloca a suspeita para uma justificativa administrativa, não para um comportamento malicioso evidente.
Após a abertura, os apps podiam carregar páginas no navegador desenhadas para parecerem ambientes confiáveis ou acionar a instalação de uma versão trojanizada da carteira por perfis de provisionamento corporativo. O componente malicioso era adaptado por carteira, com módulos específicos para capturar frases mnemônicas. Em parte dos casos, a coleta ocorria por interceptação do trecho de código responsável pela tela em que o usuário digita a frase de recuperação. Em outros, o app apresentava uma página de phishing que solicitava a mnemônica como se fosse uma verificação necessária.
A finalidade operacional era obter material suficiente para restaurar carteiras quentes ou frias sob controle do operador. Com a frase-semente ou a chave privada, o invasor não precisa manter persistência no dispositivo para concluir o impacto financeiro; a própria arquitetura das carteiras permite restaurar os ativos em outro ambiente. O contexto também indica semelhança com a campanha SparkKitty, por presença de módulo de OCR para roubo de frases de recuperação e por foco em ativos cripto, mas essa relação aparece como suspeita, não como atribuição confirmada.
A exposição principal recai sobre usuários de iOS que instalaram apps de carteira a partir da App Store usando conta Apple configurada para a China. O risco aumenta quando o usuário digitou frase-semente, chave privada ou dados de restauração em um app recém-instalado, em uma página aberta pelo app ou em um fluxo que justificava a entrada da mnemônica como verificação. Carteiras citadas no contexto como imitadas incluem Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket e Trust Wallet, mas o nome visualmente parecido não garante vínculo com o produto legítimo.
Também foram identificados apps semelhantes provavelmente ligados ao mesmo operador, ainda sem funcionalidade maliciosa habilitada no momento observado. Esses apps imitavam serviços benignos, como jogo, calculadora ou planejador de tarefas, e podiam abrir links externos para instalação posterior de carteira. Para defesa, isso amplia a superfície além de buscas diretas por nomes de carteiras: apps utilitários sem relação aparente com cripto também podem atuar como estágio inicial quando redirecionam para instalação de carteira fora do fluxo esperado.
- Usuários de iOS com conta Apple definida para a China e histórico recente de instalação de carteiras cripto.
- Apps com ícones copiados, nomes parecidos com erros ortográficos ou justificativas de indisponibilidade regulatória.
- Fluxos que solicitam frase-semente, chave privada ou restauração fora do app oficial previamente validado.
- Carteiras quentes e frias cuja frase de recuperação foi digitada em página, app ou versão trojanizada.
A investigação defensiva deve priorizar inventário de aplicativos instalados, histórico de instalação e eventos de navegação disparados por apps recém-instalados. Em dispositivos gerenciados, é relevante procurar aplicativos com nomes próximos aos de carteiras conhecidas, erros ortográficos deliberados, ícones similares e comportamento de abertura imediata de páginas externas. A presença de perfis de provisionamento corporativo não esperados após interação com app de carteira ou app utilitário deve ser tratada como sinal de risco elevado.
No lado de identidade e suporte ao usuário, alertas devem considerar relatos de telas solicitando mnemônica como verificação, mensagens sobre indisponibilidade da carteira na App Store e instalação orientada por páginas web. Em ambientes corporativos que permitem uso de carteiras para operações autorizadas, a telemetria de MDM pode ajudar a correlacionar instalação de apps suspeitos, criação de perfis, abertura de domínios recém-acessados e remoção posterior do app. A ausência de evidência de distribuição pela Google Play Store no contexto não elimina risco Android em outras campanhas, mas delimita está ocorrência específica ao fluxo observado em iOS.
- Apps iOS com nomes semelhantes a carteiras legítimas, especialmente com erros sutis de grafia.
- Abertura automática de páginas web logo após iniciar um app de carteira ou utilitário sem relação com cripto.
- Perfis de provisionamento corporativo instalados após orientação de app ou página não validada.
- Solicitações de frase mnemônica em telas de verificação, recuperação ou suposta ativação de carteira.
- Módulos ou comportamento de OCR em apps relacionados a carteiras, quando a telemetria permitir esse nível de inspeção.
A primeira ação é interromper o uso de qualquer app suspeito e remover aplicativos que imitem carteiras legítimas ou que tenham sido instalados por redirecionamento. Quando uma frase-semente tiver sido inserida em ambiente não confiável, a mitigação não deve se limitar à troca de senha do app: a frase de recuperação precisa ser considerada exposta. O caminho defensivo é criar uma nova carteira por meio de software ou hardware validado, transferir os ativos remanescentes para endereços novos e invalidar o uso operacional da carteira antiga.
Usuários e equipes de suporte devem reforçar que carteiras legítimas não precisam de frase-semente para uma verificação genérica. A frase deve ser usada apenas em restauração conscientemente iniciada pelo usuário, em aplicativo obtido por canal validado e conferido com o fornecedor legítimo. Organizações que gerenciam dispositivos móveis devem revisar políticas de instalação, restringir perfis de provisionamento corporativo não aprovados e criar detecções para apps que abrem fluxos externos de carteira logo após a execução inicial.
Para resposta a incidente, o foco deve ser preservar evidências suficientes para entender o período de exposição sem publicar ou registrar a frase-semente em sistemas de ticket, chat ou relatório. A validação deve incluir data de instalação, nome do app, conta Apple usada, regiões configuradas, presença de perfis instalados e qualquer transação suspeita após a entrada da mnemônica. Quando houver perda financeira, a documentação técnica deve separar claramente o app observado, o fluxo usado e os ativos afetados, sem assumir atribuição além do que a telemetria comprovar.
- Remover apps de carteira com nome, ícone ou origem inconsistentes e revisar instalações recentes em dispositivos iOS.
- Tratar como comprometida qualquer frase-semente digitada em app, página ou instalador não validado.
- Migrar fundos para uma carteira nova criada em ambiente confiável quando houver suspeita de exposição da mnemônica.
- Bloquear ou revisar perfis de provisionamento corporativo não aprovados em dispositivos gerenciados.
- Educar usuários para nunca inserir frase de recuperação em verificações, notificações ou páginas abertas por apps intermediários.
0 Comentários