La seguridad de los usuarios de iPhone se ha visto comprometida por una nueva campaña de fraude digital que logró infiltrar 26 aplicaciones maliciosas en la App Store de Apple. Según el equipo de investigación de Kaspersky, estos activos fraudulentos suplantan billeteras de criptomonedas legítimas con un único objetivo: obtener el control total de los fondos digitales de las víctimas.
La operación, vinculada a actores relacionados con el malware SparkKitty, ha estado activa desde finales de 2025 y utiliza una táctica de «puerta de entrada» para engañar incluso a los usuarios más precavidos.
El «Caballo de Troya» en la App Store
Las aplicaciones identificadas utilizan una fachada inofensiva —como calculadoras, juegos o listas de tareas— para superar los filtros iniciales de Apple. Sin embargo, una vez instaladas, redirigen al usuario a una página web que imita a la perfección la App Store, donde se le induce a descargar una supuesta «actualización» o «versión mejorada» de su billetera digital.
La trampa del «Perfil de Desarrollador»
El engaño aprovecha herramientas legítimas de Apple diseñadas para empresas. Para completar la instalación de la app falsa, se le pide al usuario instalar un “perfil de desarrollador” en su iPhone. Al aceptar, el dispositivo queda habilitado para instalar aplicaciones fuera de la tienda oficial sin restricciones.
Es en este punto donde se descarga la billetera adulterada que contiene un troyano capaz de interceptar frases semilla (seed phrases) y claves privadas.
“Lo preocupante es que, usando herramientas legítimas, los atacantes pueden hacer llegar estos engaños a cualquier iPhone si la persona cae en la trampa. Incluso en dispositivos considerados seguros, es clave estar atentos a instalaciones fuera de lo normal”, comentó María Isabel Manjarrez, investigadora de seguridad de Kaspersky.
Billeteras Calientes vs. Frías: Nadie está a salvo
El malware está diseñado para adaptarse al tipo de billetera que intenta vulnerar:
- Hot Wallets (Metamask, Trust Wallet): Intercepta la pantalla de creación o recuperación para monitorear y robar las frases semilla en tiempo real.
- Cold Wallets (Ledger): Aunque las claves están fuera de línea en un hardware físico, la app maliciosa utiliza phishing directo pidiendo la frase semilla de forma inesperada, algo que la aplicación original jamás haría.
Billeteras suplantadas identificadas:
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Recomendaciones para proteger sus activos
Para evitar ser víctima de este vaciado de fondos, Kaspersky sugiere:
- Desconfiar de redirecciones: Si una app lo saca a una página web externa para descargar archivos, cierre la sesión de inmediato.
- No instale perfiles desconocidos: Nunca acepte la instalación de perfiles de configuración o permisos de desarrollador si no es por un requerimiento corporativo verificado.
- Verifique el desarrollador: Antes de descargar, revise que el creador de la app sea el oficial y no una variante con nombres similares.
- Resguarde su frase semilla: Ninguna aplicación legítima le pedirá sus códigos de recuperación de forma aleatoria o por fuera del proceso inicial de configuración.
Aunque las apps ya fueron reportadas a Apple, se recomienda a los usuarios de criptoactivos revisar sus dispositivos y utilizar soluciones de seguridad como Kaspersky Premium para detectar intentos de fraude en tiempo real.
Discussion about this post