Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na **Apple App Store** que se passam por carteiras populares de criptomoedas na tentativa de roubar frases de recuperação e chaves privadas desde pelo menos o outono de 2025. "Uma vez lançados, esses aplicativos redirecionam os usuários para páginas de navegador projetadas para parecerem semelhantes à App Store e distribuem versões trojanizadas de carteiras legítimas", disse **Sergey Puzan**, pesquisador da **Kaspersky**. "Os aplicativos infectados são projetados especificamente para sequestrar frases de recuperação e chaves privadas." ### FakeWallet Aparece na App Store Os 26 aplicativos, coletivamente apelidados de **FakeWallet**, imitam várias carteiras populares como Bitpie, **Coinbase**, imToken, **Ledger**, **MetaMask**, TokenPocket e **Trust Wallet**. Muitos desses aplicativos foram removidos pela **Apple** após a divulgação. Não há evidências de que esses aplicativos tenham sido distribuídos pela **Google Play Store**. Embora carteiras maliciosas de criptomoedas distribuídas no passado por meio de sites falsos tenham abusado de perfis de provisionamento do iOS para fazer com que os usuários as instalassem, o esquema mais recente de roubo de cripto é uma melhoria em vários aspectos. Para começar, os aplicativos estão diretamente disponíveis para download na **App Store da Apple** se um usuário tiver sua conta **Apple** configurada para a China. Esses aplicativos têm ícones que espelham os originais, mas com erros de digitação intencionais em seus nomes (por exemplo, LeddgerNew) para enganar usuários desavisados a baixá-los. Em alguns casos, os nomes e ícones dos aplicativos não têm conexão com criptomoedas. Em vez disso, eles são usados como placeholders para direcionar os usuários a baixar o aplicativo oficial da carteira por meio deles, alegando que estão "indisponíveis na App Store" devido a razões regulatórias. A **Kaspersky** disse que também identificou vários aplicativos semelhantes, provavelmente ligados ao mesmo ator de ameaça, que não possuem os recursos maliciosos habilitados, mas foram encontrados imitando um serviço benigno, como um jogo, uma calculadora ou um planejador de tarefas. Uma vez lançados, esses aplicativos abrem um link no navegador da web e utilizam perfis de provisionamento corporativo para instalar o aplicativo da carteira no dispositivo da vítima. "Os atacantes produziram uma grande variedade de módulos maliciosos, cada um adaptado a uma carteira específica", disse **Puzan**. "Na maioria dos casos, o malware é entregue por meio de uma injeção maliciosa de biblioteca, embora também tenhamos encontrado compilações onde o código-fonte original do aplicativo foi modificado."   ### Táticas e Exfiltração de Dados O objetivo final dessas infecções é procurar frases mnemônicas de carteiras quentes e frias, e exfiltrá-las para um servidor externo, permitindo que os operadores assumam o controle das carteiras das vítimas e drenem ativos de criptomoedas ou iniciem transações fraudulentas. As frases de recuperação são capturadas por meio de hooking no código responsável pela tela onde o usuário insere sua frase de recuperação ou exibindo uma página de phishing que instrui a vítima a inserir suas mnemônicas como parte de uma suposta etapa de verificação. Suspeita-se que a campanha possa ser obra de atores de ameaça ligados à campanha do trojan SparkKitty no ano passado, dado que alguns dos aplicativos infectados também vêm com um módulo para roubar frases de recuperação de carteira usando reconhecimento óptico de caracteres (OCR), e que ambas as campanhas parecem ser obra de falantes nativos de chinês e visam especificamente ativos de criptomoedas. "A campanha **FakeWallet** está ganhando força ao empregar novas táticas, que vão desde a entrega de payloads por meio de aplicativos de phishing publicados na App Store até a incorporação em aplicativos de carteira fria e o uso de notificações de phishing sofisticadas para enganar os usuários a revelar suas mnemônicas", disse a **Kaspersky**. ### Surge o Framework de Malware para Android MiningDropper A descoberta ocorre enquanto a **Cyble** lança luz sobre um sofisticado framework de entrega de malware para Android conhecido como **MiningDropper** (também conhecido como BeatBanker), que combina mineração de criptomoedas com roubo de informações, acesso remoto e malware bancário em ataques direcionados a usuários na Índia, bem como na América Latina, Europa e Ásia como parte de uma campanha BTMOB RAT. O **MiningDropper** foi distribuído por meio de uma versão trojanizada do projeto de aplicativo Android de código aberto Lumolight, com as campanhas usando sites falsos que se passam por instituições bancárias e escritórios de transporte regionais para propagar o malware. Uma vez lançado, ele ativa uma sequência de múltiplos estágios para extrair o minerador e os payloads trojan de um arquivo de ativos criptografado presente dentro do pacote.  "O **MiningDropper** emprega uma arquitetura de entrega de payload em múltiplos estágios que combina ofuscação nativa baseada em XOR, staging de payload criptografado com AES, carregamento dinâmico de DEX e técnicas anti-emulação", disse a **Cyble**. "O **MiningDropper** emprega uma arquitetura de entrega de payload em múltiplos estágios que combina ofuscação nativa baseada em XOR, staging de payload criptografado com AES, carregamento dinâmico de DEX e técnicas anti-emulação." "O **MiningDropper** demonstra uma arquitetura de malware Android em camadas e modular, projetada para dificultar a análise estática, ao mesmo tempo que oferece flexibilidade aos atores de ameaça na entrega do payload final. Esse design permite que o ator de ameaça reutilize o mesmo framework de distribuição e instalação em centenas de amostras, enquanto adapta o objetivo final de monetização às necessidades operacionais."