A Kaspersky identificou uma campanha ativa desde o fim de 2025 envolvendo 26 aplicativos fraudulentos voltados a usuários do sistema iOS, que simulam carteiras legítimas de criptomoedas com o objetivo de roubar ativos digitais. Segundo a empresa, os aplicativos utilizam nomes semelhantes e replicam elementos visuais de carteiras populares para induzir usuários ao erro, criando uma camada inicial de confiança antes da execução do golpe.
O funcionamento da fraude segue uma lógica indireta. Após serem instalados, os aplicativos apresentam funcionalidades simples — como jogos, calculadoras ou listas de tarefas — apenas para aparentar legitimidade. Em seguida, redirecionam o usuário para páginas falsas que imitam a App Store, onde é incentivado o download de uma suposta carteira digital. Esse processo leva à instalação de um perfil de desenvolvedor no dispositivo, mecanismo que permite a instalação de aplicativos fora do ambiente oficial e abre espaço para a execução de softwares maliciosos.
Uma vez instalada, a carteira comprometida passa a operar como ferramenta de captura de dados sensíveis. No caso das chamadas “hot wallets”, conectadas à internet, o malware pode interceptar informações exibidas na tela durante a criação ou recuperação da carteira, incluindo frases de segurança que garantem acesso total aos fundos. Já no caso das “cold wallets”, que operam offline, o ataque ocorre por meio de engenharia social: aplicativos falsos simulam processos legítimos para induzir o usuário a inserir códigos de recuperação, que são então capturados pelos criminosos.
A Kaspersky destaca que, embora muitos dos aplicativos tenham como alvo inicial usuários chineses, não há restrições geográficas na execução do golpe, o que amplia o risco global. A empresa informou que os aplicativos identificados foram reportados às autoridades responsáveis, mas alerta que o modelo de ataque tende a evoluir e pode continuar sendo explorado por meio de novas variantes.
De acordo com Leandro Cuozzo, analista da companhia, o uso de contas de desenvolvedor e ferramentas corporativas permite que cibercriminosos contornem mecanismos tradicionais de segurança do sistema, tornando o ataque mais difícil de ser detectado. Nesse contexto, a principal vulnerabilidade deixa de ser tecnológica e passa a ser comportamental, baseada na indução do usuário a executar ações que comprometem a segurança do dispositivo.
A recomendação central é que usuários evitem instalar aplicativos fora das lojas oficiais, não autorizem perfis de desenvolvedor desconhecidos e jamais insiram frases de recuperação em interfaces que não sejam verificadas. O avanço desse tipo de golpe reforça a necessidade de atenção redobrada mesmo em ambientes considerados mais seguros, como o ecossistema da Apple.