Alerta: Aplicativos Falsos de Carteiras Enganam Usuários de iPhone e Rouba Dados e Dinheiro

Pesquisadores da Kaspersky descobriram 26 aplicativos maliciosos que se apresentavam como carteiras populares, incluindo MetaMask, Ledger e Trust Wallet, disponíveis na loja da Apple. A campanha estava ativa desde pelo menos o final de 2025.

Em março de 2026, mais de vinte aplicativos com aparência de carteiras de criptomoedas populares foram encontrados na App Store. Esses aplicativos passaram pelos filtros da Apple e chegaram a estar entre os resultados de busca mais visíveis, o que aumentava a credibilidade aos olhos dos usuários.

A análise da Kaspersky revelou que 26 desses aplicativos estavam imitando carteiras como MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken e Bitpie. A empresa já notificou a Apple sobre a situação, e alguns desses aplicativos já foram removidos.

Falha no mercado chinês permitiu o golpe

O golpe se aproveita de uma limitação no mercado chinês, onde muitos aplicativos oficiais de carteiras de criptomoedas não estão disponíveis para usuários com Apple ID configurado na região da China. Os golpistas criaram aplicativos falsificados com ícones quase idênticos aos originais e nomes ligeiramente alterados, uma técnica conhecida como typosquatting, para burlar os filtros da loja.

Busca por “ledger live” na App Store chinesa retorna três apps falsos antes do aplicativo legítimo da Ledger Enterprise, destacado em verde. Os nomes dos impostores variam levemente, como “LeddgerLive” e “LeddgerNew”, técnica clássica de typosquatting. Imagem: Kaspersky.

Em algumas situações, o aplicativo não possuía relação visual alguma com criptomoedas, mas exibia banners afirmando que a carteira oficial não estava disponível, oferecendo um suposto substituto para ser baixado.

Ao acessar o aplicativo, o usuário era redirecionado para uma página que imitava o design da App Store. Nessa etapa, o golpe utilizava perfis de provisionamento empresarial para instalar versões comprometidas das carteiras no dispositivo da vítima.

Esse mecanismo foi criado pela Apple para permitir que empresas distribuam aplicativos internamente, sem passar pela loja oficial. É um recurso legítimo, mas os golpistas já o têm utilizado há anos para distribuir malware fora dos controles da loja.

Resultados de busca por “tokenpocket” na App Store chinesa mostram dois apps falsos no topo, ambos com ícones idênticos ao original e textos afirmando ser o download oficial da carteira. Imagem: Kaspersky.

Funcionamento do malware após a instalação

Em carteiras quentes, onde as chaves privadas são armazenadas diretamente no dispositivo, o malware troca métodos legítimos do código original por versões maliciosas. O que ocorre é que ele monitora a tela onde o usuário digita a frase de recuperação, captura as palavras, criptografa os dados com RSA e os envia para um servidor controlado pelos atacantes.

No caso da Trust Wallet, os atacantes utilizaram uma abordagem diferente. Eles inseriram uma seção executável diretamente no código principal do aplicativo, criando funções que sequestram os métodos ativados quando o usuário tenta restaurar ou criar uma carteira. O resultado final é o mesmo: a seed phrase cai nas mãos dos criminosos.

Abordagem distinta para a Ledger

A Ledger, por ser uma cold wallet, tem as chaves privadas armazenadas em um dispositivo físico separado, o que as mantém desconectadas da internet. Como não há inserção de seed phrase diretamente no aplicativo, o malware recorre ao phishing dentro da própria interface do app.

Banner promocional de um app falso da TokenPocket alega que usuários na China estão impedidos de acessar aplicativos financeiros de terceiros e convida o usuário a baixar o “software oficial” por ali mesmo. Imagem: Kaspersky.

Foram detectadas duas versões infectadas da Ledger Live. Em uma delas, o aplicativo apresentava uma notificação falsa exigindo uma verificação de segurança. Ao clicar, o usuário era levado a uma página que imitava o visual do app com precisão, inclusive com preenchimento automático das palavras da frase de recuperação, para parecer mais convincente.

A segunda versão atuava diretamente no código-fonte do aplicativo, escrito em React Native, o que permitia reutilizar o código malicioso tanto para iOS quanto para Android.

A Kaspersky também identificou versões comprometidas de carteiras para Android sendo distribuídas pelas mesmas páginas de phishing, embora nenhuma tenha sido encontrada na Google Play Store.

App falso da Ledger na App Store chinesa e, ao lado, a tela de instalação do perfil de provisionamento empresarial acionado após o clique — o mecanismo usado para instalar a versão infectada no dispositivo da vítima. Imagem: Kaspersky.

Campanha em operação desde o final de 2025

Metadados do malware revelam que a campanha estava ativa pelo menos desde o outono de 2025, operando durante meses sem ser detectada. Embora o foco inicial fossem os usuários na China, os módulos maliciosos não apresentam restrições regionais. Algumas variantes se adaptam automaticamente à língua das notificações de phishing de acordo com o idioma configurado no dispositivo.

A Kaspersky sugere uma possível conexão entre os responsáveis por essa campanha e os criadores do Trojan SparkKitty. Vários dos aplicativos infectados continham módulos relacionados ao SparkKitty, e ambas as campanhas utilizam páginas de phishing que imitam a App Store. Os registros internos do malware estão escritos em chinês.

Os produtos Kaspersky identificam a ameaça como HEUR:Trojan-PSW.IphoneOS.FakeWallet.* e HEUR:Trojan.IphoneOS.FakeWallet.*.

Siga a TecMania nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se na nossa newsletter e no canal do YouTube.