Alerta de ciberseguridad: Detectan 26 apps falsas en App Store que vacían billeteras de criptomonedas

Una sofisticada campaña de fraude digital ha logrado vulnerar los filtros de la App Store de Apple, infiltrando al menos 26 aplicaciones fraudulentas diseñadas para robar activos digitales. Según el equipo de Threat Research de Kaspersky, estas aplicaciones suplantan la identidad de plataformas legítimas y utilizan tácticas de ingeniería social para tomar el control total de las billeteras de los usuarios.

La operación, vinculada al actor de amenazas SparkKitty, se mantiene activa desde finales de 2025. Los atacantes utilizan aplicaciones con funciones inofensivas —como calculadoras o juegos— para ocultar su verdadera naturaleza maliciosa y evadir la detección inicial de la tienda oficial.

El modus operandi: Perfiles de desarrollador y versiones adulteradas

A diferencia del malware convencional, esta campaña utiliza herramientas legítimas de Apple diseñadas para entornos corporativos. El proceso de engaño se divide en fases críticas:

1. Suplantación de identidad: Las apps fraudulentas replican íconos y nombres de billeteras populares como Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie.
2. Redirección estratégica: Al abrir la aplicación, el usuario es enviado a una página web que imita a la perfección la interfaz de la App Store.
3. Instalación de perfiles: Se induce a la víctima a instalar un “perfil de desarrollador”. Este permiso especial permite la instalación de aplicaciones desde fuera de la tienda oficial sin las advertencias de seguridad estándar del sistema iOS.
4. Inyección del troyano: Una vez aceptado el perfil, se descarga una versión alterada de la billetera que incluye un troyano capaz de capturar frases semilla y contraseñas.

Una app de phishing que imita a Ledger en la App Store

Riesgos para billeteras calientes (hot wallets) y frías (cold wallets)

El malware está adaptado específicamente para el tipo de billetera que intenta vulnerar. En el caso de las billeteras calientes (conectadas a internet), el virus intercepta la creación o recuperación de la cuenta para robar la frase semilla de forma inmediata.

Para las billeteras frías (dispositivos de hardware fuera de línea), la táctica se centra en el phishing puro. Por ejemplo, la aplicación maliciosa que suplanta a Ledger solicitará al usuario su frase de recuperación directamente en la pantalla del iPhone, algo que la aplicación original jamás haría, ya que esa información solo debe gestionarse en el dispositivo físico.

Una página web que imita la App Store invitando a descargar Ledger Wallet

Recomendaciones para proteger sus activos digitales

María Isabel Manjarrez, investigadora de seguridad en Kaspersky, advierte que el uso de herramientas legítimas para desarrolladores permite que estos engaños lleguen a cualquier iPhone si el usuario cae en la trampa. Para evitar fraudes, siga estos protocolos:

• Verifique el desarrollador: Antes de descargar, confirme que el creador sea el oficial y que el enlace provenga de la página web real de la empresa.
• Desconfíe de los perfiles: No instale nunca un “perfil de configuración” o permisos extraños a menos que sea para una aplicación corporativa interna verificada por su empresa.
• Seguridad de la frase semilla: Jamás comparta su código de recuperación en una aplicación de smartphone; las billeteras frías no requieren que digite estos datos en el celular.
• Monitoree comportamientos inusuales: Si una aplicación lo redirige a un navegador para “actualizar” o “volver a descargar” el software, cierre la sesión inmediatamente.

Kaspersky ya ha reportado estos 26 casos a Apple para su retiro definitivo, pero recomienda el uso de soluciones de seguridad proactivas para detectar sitios de phishing en tiempo real.