Des chercheurs en cybersécurité ont découvert un ensemble d'applications malveillantes sur l'**Apple App Store** qui usurpent l'identité de portefeuilles de cryptomonnaies populaires afin de voler des phrases de récupération et des clés privées depuis au moins l'automne 2025. « Une fois lancées, ces applications redirigent les utilisateurs vers des pages de navigateur conçues pour ressembler à l'App Store et distribuent des versions troyanisées de portefeuilles légitimes », a déclaré **Sergey Puzan**, chercheur chez **Kaspersky**. « Les applications infectées sont spécifiquement conçues pour intercepter les phrases de récupération et les clés privées. » ### FakeWallet apparaît dans l'App Store Les 26 applications, collectivement baptisées **FakeWallet**, imitent divers portefeuilles populaires tels que Bitpie, **Coinbase**, imToken, **Ledger**, **MetaMask**, TokenPocket et **Trust Wallet**. Bon nombre de ces applications ont depuis été retirées par **Apple** suite à la divulgation. Aucune preuve n'indique que ces applications aient été distribuées via le **Google Play Store**. Alors que les portefeuilles de cryptomonnaies malveillants distribués par le passé via des sites web frauduleux ont abusé des profils de provisionnement iOS pour inciter les utilisateurs à les installer, le dernier schéma de vol de cryptomonnaies constitue une amélioration à plusieurs égards. Pour commencer, les applications sont directement disponibles en téléchargement depuis l'**Apple App Store** si un utilisateur a configuré son compte **Apple** en Chine. Ces applications ont des icônes qui imitent les originales mais présentent des fautes de frappe intentionnelles dans leurs noms (par exemple, LeddgerNew) afin de tromper les utilisateurs peu méfiants et les inciter à les télécharger. Dans certains cas, les noms et les icônes des applications n'ont aucun lien avec les cryptomonnaies. Ils sont plutôt utilisés comme des espaces réservés pour diriger les utilisateurs vers le téléchargement de l'application de portefeuille officielle, prétendant qu'elle est « indisponible sur l'App Store » pour des raisons réglementaires. **Kaspersky** a indiqué avoir également identifié plusieurs applications similaires, probablement liées au même acteur de menace, qui ne disposent pas des fonctionnalités malveillantes activées, mais qui imitent un service bénin, tel qu'un jeu, une calculatrice ou un planificateur de tâches. Une fois lancées, ces applications ouvrent un lien dans le navigateur web et exploitent les profils de provisionnement d'entreprise pour installer l'application de portefeuille sur l'appareil de la victime. « Les attaquants ont produit une grande variété de modules malveillants, chacun adapté à un portefeuille spécifique », a déclaré **Puzan**. « Dans la plupart des cas, le malware est livré via une injection de bibliothèque malveillante, bien que nous ayons également rencontré des versions où le code source original de l'application a été modifié. »   ### Tactiques et exfiltration de données L'objectif final de ces infections est de rechercher des phrases mnémoniques provenant de portefeuilles chauds et froids, et de les exfiltrer vers un serveur externe, permettant aux opérateurs de prendre le contrôle des portefeuilles des victimes et de drainer les actifs en cryptomonnaies ou d'initier des transactions frauduleuses. Les phrases de récupération sont capturées soit en interceptant le code responsable de l'écran où l'utilisateur saisit sa phrase de récupération, soit en présentant une page de phishing qui demande à la victime de saisir ses mnémoniques dans le cadre d'une prétendue étape de vérification. Il est suspecté que la campagne pourrait être l'œuvre d'acteurs de menace liés à la campagne du trojan SparkKitty l'année dernière, étant donné que certaines des applications infectées incluent également un module pour voler les phrases de récupération de portefeuille à l'aide de la reconnaissance optique de caractères (OCR), et que les deux campagnes semblent être l'œuvre de locuteurs natifs chinois et ciblent spécifiquement les actifs en cryptomonnaies. « La campagne **FakeWallet** prend de l'ampleur en employant de nouvelles tactiques, allant de la livraison de charges utiles via des applications de phishing publiées sur l'App Store à leur intégration dans des applications de portefeuilles froids et à l'utilisation de notifications de phishing sophistiquées pour inciter les utilisateurs à révéler leurs mnémoniques », a déclaré **Kaspersky**. ### Le framework de malware Android MiningDropper émerge Cette découverte intervient alors que **Cyble** met en lumière un framework sophistiqué de livraison de malware Android connu sous le nom de **MiningDropper** (alias BeatBanker) qui combine le minage de cryptomonnaies avec le vol d'informations, l'accès à distance et des malwares bancaires dans des attaques ciblant des utilisateurs en Inde, ainsi qu'en Amérique latine, en Europe et en Asie dans le cadre d'une campagne BTMOB RAT. **MiningDropper** a été distribué via une version troyanisée du projet d'application Android open-source Lumolight, les campagnes utilisant de faux sites web imitant des institutions bancaires et des bureaux de transport régionaux pour propager le malware. Une fois lancé, il active une séquence multi-étapes pour extraire le mineur et les charges utiles du trojan d'une archive d'actifs chiffrée présente dans le package.  « **MiningDropper** emploie une architecture de livraison de charge utile multi-étapes qui combine l'obfuscation native basée sur XOR, la mise en scène de charge utile chiffrée AES, le chargement dynamique de DEX et des techniques anti-émulation », a déclaré **Cyble**. « **MiningDropper** emploie une architecture de livraison de charge utile multi-étapes qui combine l'obfuscation native basée sur XOR, la mise en scène de charge utile chiffrée AES, le chargement dynamique de DEX et des techniques anti-émulation. » « **MiningDropper** démontre une architecture de malware Android modulaire et en couches conçue pour rendre l'analyse statique difficile tout en offrant aux acteurs de la menace une flexibilité dans la livraison de la charge utile finale. Cette conception permet à l'acteur de la menace de réutiliser le même cadre de distribution et d'installation sur des centaines d'échantillons tout en adaptant l'objectif de monétisation final aux besoins opérationnels. »