# Campanha FakeWallet: Apps de Roubo de Cripto Visam Usuários da Apple App Store  Pesquisadores descobriram uma rede de 26 apps maliciosos na **Apple App Store** disfarçados de carteiras legítimas de criptomoedas. O objetivo: roubar frases de recuperação ou seed phrases e drenar os ativos de criptomoedas dos usuários. ## Táticas Enganosas Os atores de ameaça por trás desta campanha empregaram várias técnicas para imitar produtos oficiais. Isso incluiu typosquatting (usar nomes com grafia ligeiramente incorreta) e criar branding falso para enganar os usuários, principalmente na China, a baixar os apps maliciosos. Devido a restrições em apps relacionados a criptomoedas na China, os atacantes disfarçaram os apps maliciosos como jogos ou utilitários de calculadora, provavelmente tentando contornar as proibições. ## Conexão SparkKitty Pesquisadores da **Kaspersky** associaram todos os 26 apps falsos a uma única campanha, que eles nomearam FakeWallet. Eles a associam à operação **SparkKitty**, ativa desde o ano passado. ## Phishing e Apps Trojanizados Ao abrir os apps falsos, os usuários são redirecionados para páginas de phishing projetadas para parecerem portais legítimos de serviços de criptomoedas. Esses sites enganam as vítimas a baixar apps de carteira trojanizados usando perfis de provisionamento do **iOS**. Esta é uma funcionalidade corporativa legítima que está sendo abusada para instalar malware em dispositivos, uma técnica também observada na campanha SparkKitty.  *Site falso se passando por Ledger. Fonte: Kaspersky* Os apps trojanizados contêm código malicioso que intercepta frases mnemônicas durante a configuração ou recuperação da carteira. Essas frases são criptografadas com **RSA** e **Base64**, e então enviadas ao atacante.  *Instalando um perfil de provisionamento. Fonte: Kaspersky* Para carteiras frias como a **Ledger**, os atacantes usam prompts de phishing dentro do app para enganar os usuários a inserir manualmente suas seed phrases através de telas falsas de verificação de segurança. Essas seed phrases, destinadas à portabilidade/recuperação da carteira, permitem que os atores de ameaça restaurem a carteira da vítima em seus próprios dispositivos e roubem os fundos.  *Tela de phishing de seed phrase. Fonte: Kaspersky* ## Segmentação Geográfica e Mitigação A **Kaspersky** observou que a campanha visa principalmente usuários na China. No entanto, o malware em si não tem restrições geográficas, o que significa que pode potencialmente afetar usuários em todo o mundo se os operadores decidirem ampliar seu alcance. Detentores de criptomoedas são fortemente aconselhados a verificar cuidadosamente o publicador de qualquer app que baixem, mesmo de lojas de aplicativos oficiais. Recomenda-se usar apenas links fornecidos no site oficial do provedor da carteira de criptomoedas. ## Incidentes Anteriores Este incidente segue uma descoberta recente de um app fraudulento da **Ledger** na **Apple App Store** que roubou US$ 9,5 milhões em criptomoedas de 50 usuários de **macOS**. ## Resposta da Apple A **Apple** removeu todos os 26 apps FakeWallet da App Store após a divulgação da **Kaspersky**. O **BleepingComputer** contatou a **Apple** para comentar sobre os métodos do ator de ameaça para contornar as verificações da App Store, mas ainda não recebeu resposta.