Kaspersky detecta una campaña de apps falsas de criptomonedas infiltradas en la App Store

A lo largo de mis siete años de experiencia evaluando ecosistemas de ciberseguridad y auditando tiendas de aplicaciones móviles, he documentado cómo las estrategias de ingeniería social evolucionan para evadir los controles más estrictos. El ecosistema de Apple (iOS) siempre se ha considerado una fortaleza, pero una nueva campaña de fraude digital ha logrado eludir sus filtros de revisión. El equipo de Threat Research de la firma de seguridad Kaspersky ha detectado la presencia de 26 aplicaciones en la App Store que se hacen pasar por billeteras de criptomonedas legítimas.

Esta operación, que según los hallazgos de la compañía lleva activa al menos desde finales del año 2025, no utiliza vulnerabilidades de software (exploits) tradicionales. En su lugar, emplea tácticas de suplantación de identidad (phishing) para engañar al usuario, obligándolo a instalar perfiles corporativos que permiten descargar versiones manipuladas de billeteras digitales. El objetivo final: tomar el control absoluto de los activos financieros de la víctima.

El método de infiltración y las billeteras suplantadas

Los investigadores identificaron que los atacantes, presuntamente vinculados a la red SparkKitty, lograron subir 26 aplicaciones a la tienda oficial de Apple. Para superar el proceso de revisión automatizado y humano de la App Store, estas aplicaciones se presentaban con funciones de fachada completamente inofensivas, como juegos simples, calculadoras financieras o gestores de listas de tareas.

Sin embargo, utilizaban nombres muy similares e íconos idénticos a los de las plataformas de gestión de activos más populares del mercado para atraer a sus víctimas. Entre las billeteras digitales suplantadas en esta campaña se encuentran:

• Metamask
• Ledger
• Trust Wallet
• Coinbase
• TokenPocket
• imToken
• Bitpie

Kaspersky ha confirmado que reportó de inmediato todos los casos documentados al equipo de seguridad de Apple. No obstante, advierten que, aunque la campaña tenía un público objetivo inicial, estas aplicaciones maliciosas no poseían restricciones geográficas, lo que significa que usuarios de cualquier país podrían haber resultado afectados.

El abuso de los perfiles de desarrollador en iOS

La mecánica del ataque es sofisticada porque abusa de funciones legítimas del sistema operativo. Cuando un usuario descarga y abre una de estas «aplicaciones de fachada» desde la App Store, el software lo redirige inmediatamente a una página web externa. Esta página está diseñada para ser una réplica visual casi perfecta de la tienda oficial de Apple e invita a la víctima a descargar la aplicación real de la billetera.

El engaño crítico ocurre durante la supuesta descarga. En lugar de instalar una aplicación convencional, la página solicita permiso para instalar un «perfil de desarrollador» (Mobile Device Management o MDM) en el iPhone. Este es un mecanismo legítimo que Apple provee a las empresas para instalar software corporativo interno sin pasar por la App Store pública.

Una vez que el usuario acepta y autoriza este perfil, el dispositivo queda configurado para permitir la instalación de aplicaciones desde fuentes de terceros. En ese momento, los atacantes inyectan de forma silenciosa la billetera de criptomonedas adulterada. Esta versión incluye un troyano programado específicamente para capturar las credenciales y las frases semilla (seed phrases) del usuario.

Diferencias en el ataque a billeteras calientes y frías

El código malicioso identificado por los analistas está adaptado para vulnerar el sistema específico de cada billetera, atacando tanto a las plataformas de almacenamiento en línea (hot wallets) como a los dispositivos de hardware (cold wallets).

En el caso de las billeteras calientes (como Metamask o Trust Wallet), que almacenan las claves privadas directamente en el teléfono conectado a internet, el malware intercepta la pantalla de creación o recuperación de la cuenta. Su función es actuar como un registrador de teclas (keylogger) para capturar la frase semilla de 12 o 24 palabras en el momento exacto en que la víctima la escribe. Una vez obtenida esta llave criptográfica, los atacantes tienen acceso irrestricto para transferir los fondos a sus propias cuentas.

El ataque a las billeteras frías requiere una táctica diferente basada en la ignorancia del usuario. Servicios como Ledger utilizan una aplicación en el teléfono solo como interfaz (frontend), mientras que las claves privadas permanecen aisladas en una unidad USB externa. La aplicación oficial de Ledger nunca solicita la frase semilla, ya que esta se valida en el hardware físico. Sin embargo, la aplicación falsa bombardea al usuario con alertas de seguridad fraudulentas, exigiéndole que digite su frase semilla en la pantalla del celular para «verificar» su identidad.

María Isabel Manjarrez, investigadora de seguridad de Kaspersky, advierte que este tipo de engaño utiliza herramientas legítimas de Apple como puerta trasera, convirtiendo un dispositivo seguro en un vector de ataque si la persona no comprende los riesgos de instalar perfiles de configuración no verificados.

Recomendaciones operativas para proteger activos digitales

Frente a campañas de phishing que logran penetrar ecosistemas cerrados, la seguridad proactiva del usuario final es la última línea de defensa. Para mitigar el riesgo de robo de activos digitales, es necesario adoptar las siguientes prácticas operativas:

• Evitar redirecciones: Desconfíe inmediatamente si una aplicación descargada de la App Store lo redirige a un navegador web para continuar su instalación o actualización.
• Bloquear perfiles MDM: Nunca acepte la instalación de «perfiles de configuración» o «perfiles de desarrollador» en iOS a menos que su equipo de TI corporativo se lo haya solicitado explícitamente.
• Proteger la frase semilla: Recuerde que ninguna aplicación oficial vinculada a una billetera fría de hardware le solicitará que ingrese su frase de recuperación en la pantalla del teléfono.
• Verificar el desarrollador: Antes de descargar herramientas financieras, valide el nombre exacto del desarrollador en la tienda de aplicaciones y compare el enlace cruzando la información con el sitio web oficial de la empresa matriz.
• Implementar seguridad por capas: Utilice soluciones de ciberseguridad con capacidades antiphishing y navegación segura para bloquear conexiones a dominios maliciosos conocidos antes de que puedan ejecutar scripts de engaño en su navegador móvil.