# Campaña FakeWallet: Apps que Roban Criptomonedas Atacan a Usuarios de la Apple App Store  Investigadores han descubierto una red de 26 aplicaciones maliciosas en la **Apple App Store** que se hacen pasar por billeteras legítimas de criptomonedas. El objetivo: robar frases de recuperación o semilla y vaciar los activos de criptomonedas de los usuarios. ## Tácticas Engañosas Los actores de amenazas detrás de esta campaña emplearon varias técnicas para imitar productos oficiales. Esto incluyó el typosquatting (uso de nombres ligeramente mal escritos) y la creación de marcas falsas para engañar a los usuarios, principalmente en China, y que descargaran las aplicaciones maliciosas. Debido a las restricciones sobre aplicaciones relacionadas con criptomonedas en China, los atacantes disfrazaron las aplicaciones maliciosas como juegos o utilidades de calculadora, probablemente intentando eludir las prohibiciones. ## Conexión con SparkKitty Investigadores de **Kaspersky** han vinculado las 26 aplicaciones falsas a una única campaña, a la que han denominado FakeWallet. La asocian con la operación **SparkKitty**, activa desde el año pasado. ## Phishing y Apps Troyanizadas Al abrir las aplicaciones falsas, los usuarios son redirigidos a páginas de phishing diseñadas para parecer portales legítimos de servicios de criptomonedas. Estos sitios engañan a las víctimas para que descarguen aplicaciones de billetera troyanizadas utilizando perfiles de aprovisionamiento de **iOS**. Esta es una característica legítima para empresas que se está abusando para instalar malware en dispositivos, una técnica también observada en la campaña SparkKitty.  *Sitio web falso que imita a Ledger. Fuente: Kaspersky* Las aplicaciones troyanizadas contienen código malicioso que intercepta las frases mnemotécnicas durante la configuración o recuperación de la billetera. Estas frases se cifran con **RSA** y **Base64**, y luego se envían al atacante.  *Instalación de un perfil de aprovisionamiento. Fuente: Kaspersky* Para billeteras frías como **Ledger**, los atacantes utilizan indicaciones de phishing dentro de la aplicación para engañar a los usuarios y que ingresen manualmente sus frases semilla a través de pantallas falsas de verificación de seguridad. Estas frases semilla, destinadas a la portabilidad/recuperación de billeteras, permiten a los actores de amenazas restaurar la billetera de la víctima en sus propios dispositivos y robar los fondos.  *Pantalla de phishing de frase semilla. Fuente: Kaspersky* ## Orientación Geográfica y Mitigación **Kaspersky** señaló que la campaña se dirige principalmente a usuarios en China. Sin embargo, el malware en sí no tiene restricciones geográficas, lo que significa que podría afectar potencialmente a usuarios en todo el mundo si los operadores deciden ampliar su alcance. Se aconseja encarecidamente a los poseedores de criptomonedas que verifiquen cuidadosamente el editor de cualquier aplicación que descarguen, incluso de las tiendas de aplicaciones oficiales. Se recomienda utilizar únicamente los enlaces proporcionados en el sitio web oficial del proveedor de la billetera de criptomonedas. ## Incidentes Anteriores Este incidente sigue a un descubrimiento reciente de una aplicación fraudulenta de **Ledger** en la **Apple App Store** que robó $9.5 millones en criptomonedas a 50 usuarios de **macOS**. ## Respuesta de Apple **Apple** ha eliminado las 26 aplicaciones FakeWallet de la App Store tras la divulgación de **Kaspersky**. **BleepingComputer** se ha puesto en contacto con **Apple** para obtener comentarios sobre los métodos del actor de amenazas para eludir las verificaciones de la App Store, pero aún no ha recibido respuesta.