Investigadores de ciberseguridad han descubierto un conjunto de aplicaciones maliciosas en la **Apple App Store** que se hacen pasar por billeteras populares de criptomonedas en un intento por robar frases de recuperación y claves privadas desde al menos el otoño de 2025. "Una vez lanzadas, estas aplicaciones redirigen a los usuarios a páginas de navegador diseñadas para parecerse a la App Store y distribuyen versiones troyanizadas de billeteras legítimas", dijo **Sergey Puzan**, investigador de **Kaspersky**. "Las aplicaciones infectadas están diseñadas específicamente para secuestrar frases de recuperación y claves privadas". ### FakeWallet Aparece en la App Store Las 26 aplicaciones, colectivamente denominadas **FakeWallet**, imitan varias billeteras populares como Bitpie, **Coinbase**, imToken, **Ledger**, **MetaMask**, TokenPocket y **Trust Wallet**. Muchas de estas aplicaciones han sido eliminadas por **Apple** tras la divulgación. No hay evidencia de que estas aplicaciones se hayan distribuido a través de la **Google Play Store**. Si bien las billeteras de criptomonedas maliciosas distribuidas en el pasado a través de sitios web falsos han abusado de los perfiles de aprovisionamiento de iOS para que los usuarios las instalen, el último esquema de robo de criptomonedas es una mejora en varios aspectos. Para empezar, las aplicaciones están disponibles directamente para descargar desde la **Apple App Store** si la cuenta de **Apple** de un usuario está configurada en China. Estas aplicaciones tienen íconos que reflejan los originales pero con errores tipográficos intencionales en sus nombres (por ejemplo, LeddgerNew) para engañar a los usuarios desprevenidos a descargarlas. En algunos casos, los nombres e íconos de las aplicaciones no tienen conexión con las criptomonedas. En su lugar, se utilizan como marcadores de posición para dirigir a los usuarios a descargar la aplicación oficial de billetera a través de ellas, afirmando que "no están disponibles en la App Store" debido a razones regulatorias. **Kaspersky** dijo que también identificó varias aplicaciones similares probablemente vinculadas al mismo actor de amenaza que no tienen las funciones maliciosas habilitadas, pero que se ha descubierto que imitan un servicio benigno, como un juego, una calculadora o un planificador de tareas. Una vez lanzadas, estas aplicaciones abren un enlace en el navegador web y utilizan perfiles de aprovisionamiento empresariales para instalar la aplicación de billetera en el dispositivo de la víctima. "Los atacantes han producido una amplia variedad de módulos maliciosos, cada uno adaptado a una billetera específica", dijo **Puzan**. "En la mayoría de los casos, el malware se entrega mediante la inyección de una biblioteca maliciosa, aunque también hemos encontrado compilaciones donde el código fuente original de la aplicación fue modificado".   ### Tácticas y Exfiltración de Datos El objetivo final de estas infecciones es buscar frases mnemotécnicas tanto de billeteras calientes como frías, y exfiltrarlas a un servidor externo, permitiendo a los operadores tomar el control de las billeteras de las víctimas y drenar activos de criptomonedas o iniciar transacciones fraudulentas. Las frases semilla se capturan ya sea interceptando el código responsable de la pantalla donde el usuario ingresa su frase de recuperación o sirviendo una página de phishing que instruye a la víctima a ingresar sus mnemotécnicas como parte de un supuesto paso de verificación. Se sospecha que la campaña podría ser obra de actores de amenaza vinculados a la campaña del troyano SparkKitty del año pasado, dado que algunas de las aplicaciones infectadas también vienen con un módulo para robar frases de recuperación de billeteras utilizando reconocimiento óptico de caracteres (OCR), y que ambas campañas parecen ser obra de hablantes nativos de chino y se dirigen específicamente a activos de criptomonedas. "La campaña **FakeWallet** está ganando impulso empleando nuevas tácticas, que van desde la entrega de payloads a través de aplicaciones de phishing publicadas en la App Store hasta la incrustación en aplicaciones de billeteras frías y el uso de notificaciones de phishing sofisticadas para engañar a los usuarios y que revelen sus mnemotécnicas", dijo **Kaspersky**. ### Emerge el Framework de Malware para Android MiningDropper El descubrimiento se produce mientras **Cyble** arroja luz sobre un sofisticado framework de entrega de malware para Android conocido como **MiningDropper** (también conocido como BeatBanker) que combina la minería de criptomonedas con el robo de información, el acceso remoto y el malware bancario en ataques dirigidos a usuarios en India, así como en América Latina, Europa y Asia como parte de una campaña BTMOB RAT. **MiningDropper** se ha distribuido a través de una versión troyanizada del proyecto de aplicación de Android de código abierto Lumolight, con campañas que utilizan sitios web falsos que se hacen pasar por instituciones bancarias y oficinas de transporte regionales para propagar el malware. Una vez lanzado, activa una secuencia de múltiples etapas para extraer el minero y los payloads troyanos de un archivo de activos cifrado presente dentro del paquete.  "**MiningDropper** emplea una arquitectura de entrega de payload de múltiples etapas que combina ofuscación nativa basada en XOR, staging de payload cifrado con AES, carga dinámica de DEX y técnicas anti-emulación", dijo **Cyble**. "**MiningDropper** emplea una arquitectura de entrega de payload de múltiples etapas que combina ofuscación nativa basada en XOR, staging de payload cifrado con AES, carga dinámica de DEX y técnicas anti-emulación". "**MiningDropper** demuestra una arquitectura de malware modular y en capas para Android diseñada para dificultar el análisis estático y al mismo tiempo brindar flexibilidad a los actores de amenazas en la entrega del payload final. Este diseño permite al actor de amenazas reutilizar el mismo framework de distribución e instalación en cientos de muestras mientras adapta el objetivo de monetización final a las necesidades operativas."