Una nueva campaña de fraude digital logró infiltrarse en la App Store de Apple con aplicaciones que se hacen pasar por billeteras de criptomonedas. Según detectó el equipo de Threat Research de Kaspersky, estas apps no solo imitan a plataformas legítimas, sino que, al abrirse, redirigen a los usuarios a páginas falsas que replican la tienda oficial y los inducen a instalar versiones manipuladas capaces de tomar el control de sus activos digitales. La operación, activa al menos desde finales de 2025, estaría vinculada a actores relacionados con SparkKitty, de acuerdo con los hallazgos de la compañía.
Cada una de las 26 aplicaciones fraudulentas identificadas por Kaspersky suplantaba billeteras de criptomonedas populares, replicando sus íconos y utilizando nombres muy similares con el objetivo de engañar a los usuarios.
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Aunque las aplicaciones de phishing identificadas estaban orientadas a un público específico, las apps maliciosas no tienen restricciones geográficas, por lo que usuarios en cualquier país podrían verse afectados. Kaspersky reportó todos los casos a Apple.
Estas aplicaciones de phishing incorporan funciones básicas de fachada, como juegos, calculadoras o listas de tareas, para aparentar legitimidad. Sin embargo, al abrirse, redirigen a una página web que simula ser la App Store e invitan al usuario a volver a descargar la “app” para gestionar criptomonedas.
El proceso de instalación sigue un mecanismo similar al observado en el malware SparkKitty para iOS, y detectado anteriormente por Kaspersky, pero aprovecha herramientas legítimas del sistema diseñadas para empresas. En lugar de descargar directamente una app maliciosa desde la App Store, los usuarios son redirigidos a una página que les pide instalar un “perfil de desarrollador” en su iPhone, un paso que normalmente se usa para aplicaciones corporativas internas.
Una vez aceptado ese permiso, el dispositivo queda habilitado para instalar aplicaciones desde fuera de la tienda oficial sin mayores advertencias. Es en ese punto donde los atacantes introducen la trampa: el usuario descarga lo que parece ser una billetera de criptomonedas legítima, pero en realidad se trata de una versión alterada que incluye un troyano, diseñado para capturar información sensible y, eventualmente, permitir el acceso y vaciado de los fondos digitales.
Las aplicaciones maliciosas que identificó Kaspersky están adaptadas a la billetera específica que suplantan y apuntan tanto a las llamadas billeteras calientes como frías.
Una billetera caliente es aquella que almacena las claves privadas en el mismo dispositivo conectado a internet donde está instalada, lo que la hace práctica para el uso diario, pero también más vulnerable a ataques. En cambio, una billetera fría es un dispositivo de hardware dedicado que mantiene las claves privadas completamente fuera de línea, sacrificando algo de practicidad a cambio de un nivel de seguridad significativamente mayor.
Con las billeteras calientes o hot wallets, el malware intercepta la pantalla de recuperación/creación de la billetera y monitorea las frases semilla y, si se proporcionan, los atacantes obtienen acceso total a los fondos de las víctimas.
Con las billeteras frías o cold wallets, la táctica es diferente. Por ejemplo, el servicio de billetera de criptomonedas Ledger ofrece una aplicación frontend, que es la aplicación para smartphones Ledger Wallet, y una billetera fría en un dispositivo de hardware separado que solo firma transacciones cuando está conectado físicamente o emparejado por Bluetooth a un smartphone con la aplicación Ledger Wallet. La aplicación original para smartphones de la billetera Ledger nunca pediría la frase semilla, ya que se almacena en la llamada billetera «fría» en un dispositivo de hardware separado; sin embargo, la aplicación maliciosa se basa en el phishing e intenta obtener la frase semilla del usuario.
“Estas aplicaciones no parecen peligrosas al inicio, pero funcionan como una puerta de entrada. El engaño lleva al usuario, paso a paso, a instalar una app falsa que termina siendo un virus diseñado para robar sus criptomonedas. Lo preocupante es que, usando herramientas legítimas de Apple para desarrolladores, los atacantes pueden hacer llegar este tipo de engaños a cualquier iPhone si la persona cae en la trampa. Por eso, incluso en dispositivos considerados seguros, es clave estar atentos a cualquier instalación fuera de lo normal. Es probable que veamos más casos como este con tácticas similares”, comenta María Isabel Manjarrez, Investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
Kaspersky recomienda lo siguiente para proteger tus activos digitales y evitar fraudes en aplicaciones de criptomonedas:
- Evita dar clic en enlaces dentro de apps, sobre todo si te llevan a otra página sin que lo esperes. Si algo te saca de la app, desconfía.
- No aceptes instalar “perfiles” o permisos extraños en tu celular, a menos que estés completamente seguro de qué son y para qué sirven. En la mayoría de los casos, no los necesitas.
- Nunca compartas tus datos privados, como contraseñas o códigos de recuperación, en páginas o apps que te los pidan de forma inesperada. Las apps reales no te los piden así.
- Antes de descargar cualquier app, revisa bien quién la creó, si es el desarrollador oficial y si el enlace viene de su página real. No te confíes solo porque “parece legítima”. También, cerciórate de los comentarios y evaluaciones.
- Usa una solución de seguridad confiable como Kaspersky Premium, que te ayuda a detectar páginas falsas, bloquear intentos de fraude y proteger tu información personal y financiera mientras navegas o usas apps.
La información detallada está disponible en Securelist.com
