# Campagne FakeWallet : des applications de vol de cryptomonnaies ciblent l'App Store d'Apple  Des chercheurs ont découvert un réseau de 26 applications malveillantes sur l'**Apple App Store** se faisant passer pour des portefeuilles de cryptomonnaies légitimes. L'objectif : voler les phrases de récupération ou phrases secrètes et vider les actifs en cryptomonnaies des utilisateurs. ## Tactiques Trompeuses Les acteurs de la menace derrière cette campagne ont employé plusieurs techniques pour imiter les produits officiels. Cela incluait le typosquatting (utilisation de noms légèrement mal orthographiés) et la création de faux branding pour tromper les utilisateurs, principalement en Chine, afin qu'ils téléchargent les applications malveillantes. En raison des restrictions sur les applications liées aux cryptomonnaies en Chine, les attaquants ont déguisé les applications malveillantes en jeux ou utilitaires de calculatrice, tentant probablement de contourner les interdictions. ## Connexion SparkKitty Les chercheurs de **Kaspersky** ont lié les 26 fausses applications à une seule campagne, qu'ils ont nommée FakeWallet. Ils l'associent à l'opération **SparkKitty**, active depuis l'année dernière. ## Phishing et Applications Trojanisées Lors de l'ouverture des fausses applications, les utilisateurs sont redirigés vers des pages de phishing conçues pour ressembler à des portails légitimes de services de cryptomonnaies. Ces sites incitent les victimes à télécharger des applications de portefeuille trojanisées à l'aide de profils de provisionnement **iOS**. Il s'agit d'une fonctionnalité d'entreprise légitime qui est détournée pour installer des malwares sur les appareils, une technique également observée dans la campagne SparkKitty.  *Faux site web usurpant l'identité de Ledger. Source : Kaspersky* Les applications trojanisées contiennent du code malveillant qui intercepte les phrases mnémoniques lors de la configuration ou de la récupération du portefeuille. Ces phrases sont chiffrées avec **RSA** et **Base64**, puis envoyées à l'attaquant.  *Installation d'un profil de provisionnement. Source : Kaspersky* Pour les portefeuilles froids tels que **Ledger**, les attaquants utilisent des invites de phishing intégrées aux applications pour inciter les utilisateurs à entrer manuellement leurs phrases secrètes via de faux écrans de vérification de sécurité. Ces phrases secrètes, destinées au transfert/récupération de portefeuille, permettent aux acteurs de la menace de restaurer le portefeuille de la victime sur leurs propres appareils et de voler les fonds.  *Écran de phishing de phrase secrète. Source : Kaspersky* ## Ciblage Géographique et Mitigation **Kaspersky** a noté que la campagne cible principalement les utilisateurs en Chine. Cependant, le malware lui-même n'a pas de restrictions géographiques, ce qui signifie qu'il pourrait potentiellement affecter les utilisateurs du monde entier si les opérateurs décident d'élargir leur champ d'action. Il est fortement conseillé aux détenteurs de cryptomonnaies de vérifier soigneusement l'éditeur de toute application qu'ils téléchargent, même depuis les magasins d'applications officiels. Il est recommandé d'utiliser uniquement les liens fournis sur le site web officiel du fournisseur de portefeuille de cryptomonnaies. ## Incidents Précédents Cet incident fait suite à la récente découverte d'une application frauduleuse **Ledger** sur l'**Apple App Store** qui a volé 9,5 millions de dollars de cryptomonnaies à 50 utilisateurs **macOS**. ## Réponse d'Apple **Apple** a supprimé les 26 applications FakeWallet de l'App Store suite à la divulgation de **Kaspersky**. **BleepingComputer** a contacté **Apple** pour obtenir des commentaires sur les méthodes utilisées par l'acteur de la menace pour contourner les vérifications de l'App Store, mais n'a pas encore reçu de réponse.