Kaspersky Threat Research a identifié plusieurs applications frauduleuses imitant des portefeuilles de cryptomonnaies légitimes sur l'App Store d'Apple. Une fois ouvertes, ces applications redirigent les utilisateurs vers des pages de phishing qui usurpent l'identité de l'App Store pour distribuer des applications de portefeuilles infestées de chevaux de Troie, capables de vider les avoirs en cryptomonnaies. Kaspersky estime que cette campagne est active depuis au moins l'automne 2025 et l'attribue, avec un niveau de confiance modéré, aux cyberattaquants derrière SparkKitty.
Les 26 applications frauduleuses identifiées imitaient chacune un portefeuille populaire, reproduisant les visuels des icônes et utilisant des noms d’applications similaires pour tromper les utilisateurs :
●
Metamask
●
Ledger
●
Trust Wallet
●
Coinbase
●
TokenPocket
●
imToken
●
Bitpie
Bien que les
applications iOS officielles de ces portefeuilles ne soient pas disponibles sur
l'App Store chinois, la quasi-totalité des applications de phishing détectées
n'étaient accessibles que pour les utilisateurs chinois. Toutefois, les
applications malveillantes elles-mêmes ne présentent aucune restriction
régionale, ainsi des victimes hors de Chine pourraient également être touchées.
Kaspersky a déjà signalé toutes ces applications à Apple
Ces applications intègrent des fonctionnalités factices, comme des jeux, des calculatrices ou des gestionnaires de listes, qui ne servent qu'à donner une apparence légitime au programme. Une fois téléchargées et lancées, elles ouvrent une page web imitant l'App Store et invitent l'utilisateur à télécharger à nouveau l’“application” souhaitée de gestion crypto
Le processus d'installation est similaire à celui de SparkKitty, le malware iOS que Kaspersky a décrit précédemment : il utilise des outils de développement spécifiques destinés à la distribution d'applications d'entreprise. L'objectif est ici de dérouter l'utilisateur, car les attaquants comptent sur son manque d'attention pour l'inciter à ajouter un profil de développeur sur son appareil, ce qui permet ensuite le téléchargement d'une application malveillante.
En conséquence, un cheval de Troie imitant un portefeuille crypto est installé. Les applications malveillantes détectées par Kaspersky sont personnalisées pour chaque portefeuille dont elles usurpent l'identité, visant aussi bien les hot wallets que les cold wallets.
Un hot wallet stocke les clés privées sur le même appareil connecté à Internet que celui où il est installé, ce qui le rend pratique pour un usage fréquent mais plus vulnérable aux attaques. À l'inverse, un cold wallet est un appareil matériel dédié qui conserve les clés privées entièrement hors ligne, sacrifiant un peu de confort d'utilisation au profit d'une sécurité nettement renforcée. Avec les hot wallets, le logiciel malveillant intercepte l'écran de récupération ou de création du portefeuille pour surveiller la saisie des phrases de récupération. Si celles-ci sont fournies, les attaquants obtiennent un accès total aux fonds des victimes.
Pour les cold wallets, la stratégie est différente. Par exemple, le service de portefeuille crypto Ledger propose une application d'interface, à savoir l'application Ledger Wallet pour smartphone, ainsi qu’un portefeuille matériel séparé qui ne signe les transactions que lorsqu'il est physiquement connecté ou jumelé via Bluetooth au smartphone. L'application Ledger Wallet d'origine ne demandera jamais la phrase de récupération, car celle-ci est stockée dans le portefeuille dit "froid" sur l'appareil matériel distinct. Cependant, l'application malveillante mise sur le phishing et tente d'extorquer cette phrase de récupération à l'utilisateur.
« Bien que les applications qui déclenchent la chaîne d'attaque ne soient pas intrinsèquement malveillantes, elles finissent par amener l'utilisateur à installer un cheval de Troie. En payant des frais et en configurant un compte développeur, les attaquants peuvent cibler n'importe quel appareil iOS si l'utilisateur cède à la stratégie de phishing. Les utilisateurs doivent se méfier des risques liés à la gestion de leurs portefeuilles crypto, même sur des appareils qu'ils considèrent comme sûrs, tels que les iPhones. Nous nous attendons à ce que d'autres applications crypto piégées soient distribuées selon une stratégie similaire », commente Sergey Puzan, expert en malwares mobiles chez Kaspersky.
Pour plus d’information, vous pouvez consulter Securelist.com
Kaspersky préconise les conseils suivants afin de se protéger :
- Être prudent en suivant des liens à l'intérieur des applications, en particulier lorsqu'une page s'affiche de manière inattendue.
- Ne jamais installer de profils de développeur, sauf s'ils sont fournis directement par son employeur.
- S’assurer de ne saisir une phrase de récupération que sur un appareil wallet hardware. Par exemple, l'application officielle Ledger Wallet ne la demandera jamais.
- Toujours vérifier si l'éditeur de l'application est légitime, même lorsqu'elle est téléchargée depuis l'App Store. C'est une bonne habitude de vérifier les liens de téléchargement sur le site officiel du développeur.
À propos de Kaspersky Threat Research
L'équipe Threat Research (Recherche sur les menaces) est une autorité de premier plan dans la protection contre les cybermenaces. En s'engageant activement à la fois dans l'analyse des menaces et dans la création de technologies, nos experts TR garantissent que les solutions de cybersécurité de Kaspersky sont parfaitement informées et exceptionnellement puissantes, offrant ainsi des renseignements critiques sur les menaces et une sécurité robuste à nos clients comme à l'ensemble de la communauté.
