El equipo de Threat Research de Kaspersky detectó una campaña de fraude digital que logró infiltrarse en la App Store de Apple con 26 aplicaciones que se hacen pasar por billeteras de criptomonedas populares.
Las apps no solo imitan a plataformas legítimas, sino que al abrirse redirigen a los usuarios a páginas falsas que replican la tienda oficial y los inducen a instalar versiones manipuladas capaces de tomar el control de sus activos digitales.
La operación está activa al menos desde finales de 2025 y estaría vinculada a actores relacionados con SparkKitty, de acuerdo con los hallazgos de la compañía.
Cada una de las 26 aplicaciones fraudulentas suplantaba billeteras de criptomonedas populares, replicando sus íconos y utilizando nombres muy similares con el objetivo de engañar a los usuarios. Las billeteras suplantadas fueron:
- Metamask
- Ledger
- Trust Wallet
- Coinbase
- TokenPocket
- imToken
- Bitpie
Aunque las aplicaciones de phishing identificadas estaban orientadas a un público específico, las apps maliciosas no tienen restricciones geográficas, por lo que usuarios en cualquier país podrían verse afectados. Kaspersky reportó todos los casos a Apple.
Estas aplicaciones incorporan funciones básicas de fachada —como juegos, calculadoras o listas de tareas— para aparentar legitimidad. Sin embargo, al abrirse, redirigen a una página web que simula ser la App Store e invitan al usuario a volver a descargar la “app” para gestionar criptomonedas.
El mecanismo de infección: el perfil de desarrollador
El proceso de instalación sigue un mecanismo similar al observado en el malware SparkKitty para iOS, pero aprovecha herramientas legítimas del sistema diseñadas para empresas.
En lugar de descargar directamente una app maliciosa desde la App Store, los usuarios son redirigidos a una página que les pide instalar un “perfil de desarrollador” en su iPhone, un paso que normalmente se usa para aplicaciones corporativas internas.
Una vez aceptado ese permiso, el dispositivo queda habilitado para instalar aplicaciones desde fuera de la tienda oficial sin mayores advertencias.
Es en ese punto donde los atacantes introducen la trampa: el usuario descarga lo que parece ser una billetera de criptomonedas legítima, pero en realidad se trata de una versión alterada que incluye un troyano, diseñado para capturar información sensible y permitir el acceso y vaciado de los fondos digitales.
Billeteras calientes y frías: dos vectores de ataque
Las aplicaciones maliciosas están adaptadas a la billetera específica que suplantan y apuntan tanto a las billeteras calientes como a las frías.
Una billetera caliente almacena las claves privadas en el mismo dispositivo conectado a internet donde está instalada, lo que la hace práctica para el uso diario, pero también más vulnerable a ataques.
Con ellas, el malware intercepta la pantalla de recuperación o creación de la billetera y monitorea las frases semilla: si se proporcionan, los atacantes obtienen acceso total a los fondos.
Una billetera fría es un dispositivo de hardware dedicado que mantiene las claves privadas completamente fuera de línea.
Con ellas la táctica es diferente. Por ejemplo, en el caso de Ledger, la aplicación original para smartphones nunca pediría la frase semilla, ya que se almacena en el dispositivo de hardware separado; sin embargo, la aplicación maliciosa se basa en el phishing e intenta obtener esa frase del usuario.
María Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky, señala que “estas aplicaciones no parecen peligrosas al inicio, pero funcionan como una puerta de entrada. El engaño lleva al usuario, paso a paso, a instalar una app falsa que termina siendo un virus diseñado para robar sus criptomonedas”.
“Lo preocupante es que, usando herramientas legítimas de Apple para desarrolladores, los atacantes pueden hacer llegar este tipo de engaños a cualquier iPhone si la persona cae en la trampa. Por eso, incluso en dispositivos considerados seguros, es clave estar atentos a cualquier instalación fuera de lo normal. Es probable que veamos más casos como este con tácticas similares”, continuó.
Para proteger los activos digitales y evitar fraudes en aplicaciones de criptomonedas, Kaspersky recomienda:
- Evitar hacer clic en enlaces dentro de apps, sobre todo si redirigen a otra página de forma inesperada.
- No aceptar instalar “perfiles” o permisos extraños en el celular, a menos que se esté completamente seguro de qué son y para qué sirven.
- Nunca compartir datos privados como contraseñas o códigos de recuperación en páginas o apps que los soliciten de forma inesperada. Las apps reales no los piden así.
- Antes de descargar cualquier app, revisar quién la creó, si es el desarrollador oficial y si el enlace proviene de su página real. También verificar comentarios y evaluaciones.
- Usar una solución de seguridad confiable que ayude a detectar páginas falsas, bloquear intentos de fraude y proteger la información personal y financiera.
