Al menos 26 aplicaciones maliciosas consiguieron superar los filtros de revisión de Apple haciéndose pasar por billeteras de criptomonedas muy conocidas.
El equipo de Threat Research de Kaspersky identificó una campaña de fraude digital activa desde finales de 2025 con un único objetivo: tomar el control de los activos digitales de las víctimas.
Kaspersky vinculó la campaña, denominada FakeWallet, con los operadores de SparkKitty con un nivel de confianza moderado, y rastreó la actividad hasta el otoño de 2025.
Las aplicaciones copiaban íconos y nombres similares a los originales y, además, ejecutaban un esquema de phishing en múltiples pasos diseñado para engañar incluso a usuarios precavidos.
El objetivo último era robar frases semilla, claves privadas y otros datos sensibles para tomar el control de los fondos digitales de las víctimas, sin importar su país de residencia.
Este caso pone en cuestión la eficacia de los filtros de revisión de Apple en determinadas campañas sofisticadas.
Cada una de las apps imitaba servicios ampliamente utilizados en todo el mundo, entre ellos MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie.
Para resultar creíbles, estas aplicaciones tienen íconos que imitan a las originales, pero con errores tipográficos intencionados en sus nombres —por ejemplo, "LeddgerNew"— para engañar a usuarios desprevenidos.
En algunos casos, los nombres e íconos no tenían ninguna relación con las criptomonedas: se usaban como fachada para redirigir a los usuarios hacia la descarga de la billetera maliciosa, bajo el argumento de que la app oficial no estaba disponible en la tienda por motivos regulatorios.
A simple vista, para un usuario medio resultaba complicado distinguirlas de las aplicaciones legítimas, sobre todo si llegaba a ellas desde un enlace en redes sociales, grupos de mensajería o recomendaciones de terceros.
Las apps maliciosas no tenían restricciones geográficas, por lo que usuarios en cualquier país podían verse afectados. Kaspersky reportó todos los casos a Apple una vez completada la investigación.
Kaspersky identificó varias aplicaciones vinculadas al mismo actor malicioso que no tienen las funciones maliciosas habilitadas, sino que imitan un servicio inofensivo como un juego, una calculadora o un planificador de tareas.
Estas funciones de fachada sirvieron para superar los filtros iniciales de revisión de la App Store.
Una vez instaladas y abiertas, las apps redirigen al usuario a una página web que simula ser la tienda oficial e invita a volver a descargar la "app" para gestionar criptomonedas.
El proceso de instalación sigue un mecanismo similar al observado en el malware SparkKitty para iOS, pero aprovecha herramientas legítimas del sistema diseñadas para empresas: en lugar de descargar directamente una app maliciosa, los usuarios son redirigidos a una página que les pide instalar un "perfil de desarrollador" en su iPhone, un paso que normalmente se usa para aplicaciones corporativas internas.
Una vez aceptado ese permiso, el dispositivo queda habilitado para instalar aplicaciones desde fuera de la tienda oficial sin mayores advertencias.
Es en ese punto donde los atacantes introducen la trampa: el usuario descarga lo que parece ser una billetera de criptomonedas legítima, pero en realidad se trata de una versión alterada que incluye un troyano, diseñado para capturar información sensible y, eventualmente, permitir el acceso y vaciado de los fondos digitales.
Entre los datos que el malware podía interceptar se encontraban las frases semilla (seed phrases), las claves privadas y otros códigos de recuperación que permiten reconstruir una billetera en cualquier dispositivo.
Los investigadores comparan este mecanismo con un auténtico "caballo de Troya" dentro del ecosistema iOS: la app instalada desde la App Store solo servía como gancho, y el malware real llegaba después, amparado en herramientas pensadas para un uso completamente distinto.
El fraude evidencia que incluso las tiendas oficiales pueden ser usadas para campañas sofisticadas de phishing.
Según los expertos, el hecho de que los atacantes adapten su estrategia a cada tipo de billetera demuestra un alto grado de conocimiento del ecosistema cripto y de los puntos débiles en los que muchos usuarios suelen confiar más de la cuenta.
Las aplicaciones maliciosas identificadas por Kaspersky no aplicaban la misma táctica para todos los blancos: ajustaban su método según el tipo de billetera que suplantaban.
Con las billeteras calientes o hot wallets —aquellas que almacenan las claves privadas en el mismo dispositivo conectado a internet—, el malware intercepta la pantalla de recuperación o creación de la billetera y monitorea las frases semilla; si el usuario las proporciona, los atacantes obtienen acceso total a los fondos.
Con las billeteras frías o cold wallets —dispositivos de hardware que mantienen las claves completamente fuera de línea—, la táctica es diferente.
La aplicación original para smartphones de la billetera Ledger nunca pediría la frase semilla, ya que se almacena en la billetera fría en un dispositivo de hardware separado; sin embargo, la aplicación maliciosa se basa en el phishing e intenta obtener esa frase semilla del usuario.
En el momento en que la víctima introducía la frase semilla de su billetera fría, la seguridad que aporta el dispositivo de hardware quedaba anulada: los atacantes podían replicar la configuración en otro aparato, firmar transacciones y vaciar los fondos con la misma facilidad que en una cartera caliente.
"Lo preocupante es que, usando herramientas legítimas, los atacantes pueden hacer llegar estos engaños a cualquier iPhone si la persona cae en la trampa. Incluso en dispositivos considerados seguros, es clave estar atentos a instalaciones fuera de lo normal", advirtió María Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
La investigadora subrayó que estas apps no parecen peligrosas al inicio, sino que funcionan como una puerta de entrada que lleva al usuario, paso a paso, hacia la instalación de un virus diseñado para robar criptomonedas.
El uso de perfiles de aprovisionamiento empresarial —herramientas creadas por Apple para distribuir apps corporativas internas— como vector de ataque representa un salto cualitativo en la sofisticación de este tipo de campañas.
Durante el periodo activo, un conjunto de desarrolladores vinculados a actores relacionados con SparkKitty habría publicado en la App Store varias aplicaciones aparentemente inocuas, pero diseñadas como parte de un esquema de phishing avanzado.
Manjarrez también alertó que es probable que se repitan casos similares con tácticas análogas en el futuro próximo.
La sofisticación de la campaña y su largo período de actividad sin detección anticipan que otros actores maliciosos adoptarán métodos similares.
Frente a este tipo de amenazas, Kaspersky publicó una serie de recomendaciones prácticas para proteger los activos digitales.
La primera regla es desconfiar de cualquier app que, al abrirse, redirija a otra página de forma inesperada: si algo te saca de la app sin que lo hayas pedido, es una señal de alerta.
Es importante evitar la instalación de perfiles de configuración o perfiles de desarrollador salvo en un entorno corporativo verificado: para un usuario doméstico, lo normal es no tener que tocar este tipo de ajustes para usar una billetera legítima o cualquier app financiera.
Otra recomendación clave es no introducir frases semilla, claves privadas ni códigos de recuperación en ninguna página o aplicación que los pida fuera del proceso inicial de creación de la billetera.
Antes de descargar cualquier app, conviene verificar quién la desarrolló, si corresponde al desarrollador oficial y si el enlace proviene de la página real del proyecto, sin fiarse solo de que "parece legítima".
Revisar los comentarios y evaluaciones en la tienda también puede revelar señales de alerta que pasaron el filtro inicial de revisión.
Por último, contar con una solución de seguridad confiable —como Kaspersky Premium— ayuda a detectar páginas falsas, bloquear intentos de fraude y proteger la información personal y financiera en tiempo real.