Um recente relatório de pesquisa desencadeou uma campanha que buscava esvaziar carteiras de criptomoedas por aplicativos fraudulentos hospedados na App Store da Apple. Pesquisadores de segurança identificaram 26 apps maliciosas que se faziam passar por carteiras conhecidas —Metamask, Coinbase, Trust Wallet, OneKey e outras — com a intenção de capturar as frases de recuperação (seed phrases) e permitir o roubo direto de fundos.
A engenharia de engano combinava técnicas simples, mas eficazes: variações ortográficas do nome das aplicações legítimas (typosquatting), logos e capturas falsificadas e até à publicação dessas apps como jogos ou calculadoras para ocultar seu objetivo real. Essa aparência “inoqua” teve um propósito estratégico: muitas das aplicações de cripto estão restritas ou diretamente bloqueadas em certos mercados, pelo que apresentá-las como software inofensivo é uma forma de sortear as barreiras e ganhar a confiança do usuário.
Segundo a análise da Kaspersky, os 26 exemplares fazem parte de uma única campanha rotulada como FakeWallet, que os pesquisadores relacionam com uma operação prévia conhecida como SparkKitty. Quando uma vítima abre a app, o fluxo a redeirige para páginas de phishing que imitam perfeitamente as capas web dos serviços de cripto. Essas páginas não só pedem credenciais: induzem o usuário a baixar versões troceadas de carteiras usando perfis de provisão de iOS, um mecanismo legítimo da Apple que, quando é abusado, permite o sideloading de código não aprovado pela App Store.
O abuso dos perfis de provisão é o elo crítico da fraude. A Apple oferece mecanismos para empresas e desenvolvedores que facilitam a instalação direta de apps em dispositivos; esses mesmos mecanismos podem ser usados para evitar a revisão habitual da loja e distribuir software malicioso. Kaspersky documenta como as páginas fraudulentas instalam perfis que permitem executar as apps trojanizadas fora do fluxo normal da App Store.
Uma vez instaladas, estes apps incluem código que intercepta as frases mnemônicas nos momentos em que o usuário cria ou recupera uma carteira. O texto capturado é criptografado e enviado ao operador da fraude. No caso de carteiras frias (hardware wallets) como Ledger, os atacantes utilizaram telas de verificação fraudulentas dentro da app para persuadir o usuário a introduzir manualmente o seu seed phrase sob a desculpa de uma verificação de segurança. Essa frase, que nunca deveria ser partilhada, permite restaurar a carteira em outro dispositivo e transferir imediatamente os ativos.
É preciso entender isso sem tecnicismos: a seed phrase é a chave-prima de uma carteira. Quem a conhece pode recriar a carteira e mover os fundos sem possibilidade de reverter a operação na maioria de blockchains. Por isso os especialistas repetem uma máxima simples e contundente: Nunca introduza a sua frase de recuperação em uma app ou web, nem mesmo se parece oficial.
A equipa da Kaspersky adverte que, embora a campanha tenha foco em usuários na China, o código e os métodos não incorporam restrições geográficas intrínsecas: se os operadores decidirem expandir o seu objetivo, os usuários de outras regiões poderiam ser afetados. A Apple eliminou as 26 aplicações da App Store após a notificação responsável da Kaspersky, mas há perguntas sobre como esses binários conseguiram passar os controles iniciais da loja e se houve violações no processo de validação.
O incidente não é isolado. A semana passada também foi relatada uma aplicação falsa de Ledger que chegou à App Store e, segundo relatos, facilitou o roubo de aproximadamente 9,5 milhões de dólares em criptomoedas de computadores macOS de usuários afetados. Meios especializados como BleepingComputer Tentaram obter mais informações da Apple sobre como os controles foram medidos, sem receber resposta imediata ao momento da sua publicação.
Que medidas práticas os usuários podem tomar para se proteger? Em primeiro lugar, Verifica sempre a proveniência da ligação que você usa para baixar uma carteira: acede da página oficial do fornecedor ou dos links que esse fornecedor publica em seus canais verificados. Se uma aplicação solicitar instalar um perfil de provisão ou acessar opções avançadas do sistema, há que suspeitar por defeito e fechar o processo até verificar a sua legitimidade.
Além disso, evite introduzir a seed phrase em aplicativos ou sites. As carteiras de hardware são desenhadas para que a frase nunca saia do dispositivo; se alguma tela lhe pede a semente "por segurança", é sinal de fraude. As empresas de hardware wallet costumam explicar o uso seguro da frase em seus recursos de ajuda, como o guia Ledger sobre o que é uma seed phrase ( Ledger Academy).
Actualizar o sistema operacional e as aplicações, leia com atenção a identidade do desenvolvedor na ficha da App Store e desconfiar de instalações que dependem de perfis empresariais são passos adicionais para minimizar riscos. Se você tiver instalado recentemente um aplicativo que solicitou um perfil e dúvidas de sua origem, desinstálala e elimina qualquer perfil associado desde os ajustes do dispositivo. Para entender melhor o quadro técnico que os atacantes exploram, a documentação sobre os programas de desenvolvedor e empresa da Apple oferece contexto sobre os perfis de provisão ( Apple Developer Enterprise Program).
Se você acredita que seu seed phrase foi comprometido, o mais prudente é mover os fundos para uma nova carteira cujo backup nunca tenha sido exposto em nenhum site e, se você usar hardware wallet, ativar funções avançadas de proteção como passphrases ou contas protegidas adicionais. Também convém notificar o incidente ao fornecedor da carteira e denunciar a fraude junto das autoridades locais e das plataformas onde encontrou a app.
No fundo, estes ataques lembram uma lição clássica de segurança digital: as cadeias de confiança são tão fortes quanto o elo mais fraco. Quando uma aplicação maliciosa consegue simular um serviço legítimo, a responsabilidade recai em parte nos mecanismos de detecção e na precaução do usuário, mas também na necessidade de as lojas de apps e os desenvolvedores reforçarem controles e canais oficiais de distribuição. Manter a guarda e aplicar práticas de higiene digital ainda é a melhor defesa.
Para mais detalhes técnicos e o seguimento desta campanha, consultar o relatório da Kaspersky ( Análise FakeWallet no Securelist) e a cobertura de incidentes relacionados em meios especializados como BleepingComputer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...