Underc0de - La Casa de los Informáticos

La aparición de aplicaciones maliciosas en tiendas oficiales vuelve a poner en evidencia que incluso los ecosistemas más controlados no están exentos de amenazas. Un reciente hallazgo de Kaspersky ha revelado una campaña altamente sofisticada que involucra 26 aplicaciones fraudulentas en la App Store de Apple, diseñadas para robar criptomonedas mediante el engaño directo a los usuarios.

FakeWallet: la campaña que suplanta billeteras cripto en iOS

Los investigadores han denominado esta operación como FakeWallet, vinculándola con la campaña previa SparkKitty, activa desde 2025. El objetivo es claro: robar frases de recuperación (seed phrase) de billeteras digitales, lo que permite a los atacantes tomar control total de los fondos.

Estas aplicaciones maliciosas se hacían pasar por servicios legítimos ampliamente conocidos como MetaMask, Coinbase, Trust Wallet y OneKey. Para lograrlo, los ciberdelincuentes emplearon técnicas avanzadas de suplantación como el typosquatting (errores tipográficos en nombres) y el uso de marcas falsas que imitaban a las originales.

Ingeniería social y evasión de controles de la App Store

Uno de los aspectos más preocupantes de esta campaña es la forma en que los atacantes lograron evadir los controles de seguridad de la App Store. Debido a las restricciones sobre aplicaciones de criptomonedas en China, los actores maliciosos publicaron estas apps bajo categorías aparentemente inofensivas como juegos o calculadoras.

Este enfoque no solo les permitió sortear los filtros de revisión, sino que también explotó la percepción del usuario, haciendo que las víctimas creyeran que estaban accediendo a herramientas alternativas para eludir bloqueos gubernamentales.

Cadena de ataque: del phishing a la exfiltración de claves

El funcionamiento de estas aplicaciones sigue una cadena de ataque bien estructurada. Una vez instaladas, las apps redirigen a los usuarios a páginas de phishing cuidadosamente diseñadas para imitar portales oficiales de servicios cripto.

Posteriormente, se persuade a las víctimas para descargar aplicaciones adicionales mediante perfiles de aprovisionamiento empresarial de iOS, una funcionalidad legítima que permite instalar software fuera de la App Store. Sin embargo, en este caso, se utiliza como vector de ataque.

Estas aplicaciones trojanizadas incluyen código malicioso capaz de:

• Interceptar frases mnemotécnicas durante la configuración de la billetera
• Capturar datos en procesos de recuperación
• Cifrar la información utilizando algoritmos RSA y codificación Base64
• Enviar los datos directamente a los servidores controlados por los atacantes

Este nivel de sofisticación demuestra un profundo conocimiento del ecosistema iOS y de los mecanismos de seguridad que normalmente protegen a los usuarios.

El riesgo crítico de las frases semilla

Las frases de recuperación representan el punto más crítico de seguridad en el mundo de las criptomonedas. Estas claves permiten restaurar completamente una billetera en cualquier dispositivo, sin necesidad de contraseñas adicionales.

Esto significa que, una vez comprometidas, los atacantes pueden:

• Restaurar la billetera en sus propios dispositivos
• Transferir todos los fondos sin autorización
• Eliminar cualquier posibilidad de recuperación

Incluso en dispositivos físicos como Ledger, los atacantes recurren a técnicas de phishing dentro de las aplicaciones para engañar a los usuarios y hacer que introduzcan manualmente sus frases semilla en interfaces falsas.

Impacto y alcance global

Aunque la campaña FakeWallet se dirigió principalmente a usuarios en China, los expertos advierten que el malware no presenta restricciones geográficas. Esto implica que cualquier usuario a nivel global podría verse afectado si los atacantes amplían su alcance.

De hecho, incidentes recientes refuerzan esta preocupación. Se ha documentado el caso de una aplicación fraudulenta relacionada con Ledger que logró infiltrarse en la App Store y robar aproximadamente 9,5 millones de dólares en criptomonedas a unos 50 usuarios de macOS.

Este tipo de ataques evidencia que los ciberdelincuentes están perfeccionando sus técnicas para atacar incluso plataformas consideradas seguras.

Respuesta de Apple y mitigación del riesgo

Tras la divulgación responsable por parte de Kaspersky, Apple eliminó las 26 aplicaciones maliciosas de su tienda. No obstante, el incidente plantea interrogantes sobre la eficacia de los procesos de revisión y validación.

Hasta el momento, no se han proporcionado detalles públicos sobre cómo estas aplicaciones lograron superar los controles de seguridad, lo que deja abierta la posibilidad de que campañas similares puedan repetirse.

Recomendaciones clave para proteger tus criptomonedas

Ante el aumento de este tipo de amenazas, es fundamental adoptar medidas de seguridad proactivas:

• Descargar aplicaciones únicamente desde enlaces oficiales de los desarrolladores
• Verificar cuidadosamente el nombre del editor en la App Store
• Evitar instalar perfiles de aprovisionamiento desconocidos en iOS
• Nunca compartir ni introducir frases semilla fuera de aplicaciones oficiales
• Utilizar billeteras hardware y mantener las claves offline
• Activar autenticación multifactor en servicios asociados

Una amenaza creciente en el ecosistema cripto

La campaña FakeWallet demuestra que los atacantes están evolucionando rápidamente, combinando ingeniería social, abuso de funcionalidades legítimas y técnicas avanzadas de cifrado para robar activos digitales.

El hecho de que estas aplicaciones hayan logrado infiltrarse en la App Store subraya una realidad incómoda: ninguna plataforma es completamente inmune. Para los usuarios de criptomonedas, la seguridad ya no depende únicamente de la tecnología, sino también de la vigilancia constante y la adopción de buenas prácticas.

Fuente: https://www.bleepingcomputer.com/