emerso un importante allarme di cybersecurity che riguarda direttamente gli utenti iPhone e gli investitori in criptovalute in tutto il mondo. I ricercatori di sicurezza di Kaspersky hanno identificato 26 applicazioni fraudolente di wallet crypto sull’App Store di Apple, progettate per rubare asset digitali attraverso una sofisticata campagna di phishing e distribuzione di malware.
A differenza delle semplici app false, questa operazione utilizza tecniche di inganno multi-livello, combinando interfacce contraffatte, abuso dei certificati enterprise e pagine di phishing che imitano perfettamente i sistemi ufficiali Apple. L’obiettivo è chiaro: indurre gli utenti a installare wallet malevoli in grado di svuotare silenziosamente i fondi in criptovalute.
La scoperta evidenzia una realtà importante dell’ecosistema digitale moderno: anche gli app store ufficiali non sono più immuni da attacchi crypto avanzati.
Panoramica della Campagna di Wallet Crypto Falsi
Secondo il team Threat Research di Kaspersky, le app malevole erano progettate per impersonare alcuni dei nomi più affidabili del settore crypto. Tra questi figurano MetaMask, Trust Wallet, Coinbase Wallet, Ledger, TokenPocket, imToken e Bitpie.
Gli attaccanti non si sono limitati a copiare i nomi. Hanno replicato elementi grafici, descrizioni e interfacce utente per rendere le app apparentemente autentiche. A prima vista, sembravano strumenti legittimi per la gestione degli asset digitali, aumentando così la fiducia degli utenti.
Ciò che rende questa campagna particolarmente pericolosa è il metodo di distribuzione. Le app erano presenti o collegate a interfacce simili all’App Store di Apple, dando l’impressione di software verificato.
Kaspersky ha confermato di aver segnalato le app ad Apple e ritiene che la campagna sia attiva almeno dall’autunno 2025.
Come Funziona l’Attacco: Catena Multi-Fase
Questa truffa non è un semplice phishing, ma una catena d’attacco strutturata.
Fase 1: App Falsi ma Apparentemente Funzionali
La prima fase consiste in applicazioni apparentemente innocue. Spesso includono giochi semplici, calcolatrici o strumenti di produttività. Questo serve a superare i controlli iniziali e ridurre i sospetti.
Le funzionalità visibili sono solo una copertura per attività malevole nascoste.
Fase 2: Reindirizzamento a Pagine Falsificate dell’App Store
Una volta aperta l’app, l’utente viene reindirizzato a pagine di phishing che imitano l’interfaccia ufficiale dell’App Store Apple.
Qui viene richiesto di scaricare una versione “ufficiale” del wallet, che in realtà è il payload malevolo.
Fase 3: Abuso dei Certificati Enterprise Apple
Uno degli aspetti più pericolosi è l’uso improprio degli strumenti enterprise Apple, destinati alla distribuzione interna aziendale.
Gli utenti vengono invitati a installare un profilo sviluppatore. Questo consente l’installazione di app esterne all’App Store ufficiale.
Molti utenti accettano senza comprendere i rischi, aprendo così la porta all’infezione.
Fase 4: Installazione del Wallet Trojanizzato
Dopo l’installazione, viene scaricata una seconda app che simula un wallet crypto legittimo.
In realtà, è progettata per:
- Rubare credenziali e chiavi private
- Intercettare le seed phrase
- Manipolare transazioni
- Svuotare wallet hot e cold
Quando l’utente se ne accorge, spesso è troppo tardi.
Collegamento con il Malware SparkKitty
I ricercatori hanno notato somiglianze con un precedente malware iOS noto come SparkKitty.
Kaspersky ritiene con “moderata confidenza” che gli stessi attori possano essere responsabili di entrambe le campagne.
SparkKitty utilizzava tecniche simili, come certificati enterprise e distribuzione tramite phishing, suggerendo una continuità operativa nella strategia degli attaccanti.
Perché gli Utenti Crypto Sono Obiettivi Ideali
Gli utenti di criptovalute sono particolarmente vulnerabili per diversi motivi.
Le transazioni crypto sono irreversibili: una volta inviati i fondi, non esiste un’autorità centrale in grado di annullare l’operazione. Questo rende i furti praticamente definitivi.
Inoltre, molti utenti gestiscono asset significativi direttamente da smartphone, aumentando il valore degli attacchi.
La complessità tecnica dei wallet e delle seed phrase contribuisce ulteriormente al rischio.
Rischio Globale e Distribuzione Geografica
La campagna sembra inizialmente mirata agli utenti in Cina, dove alcuni wallet legittimi non sono sempre disponibili sull’App Store locale.
Tuttavia, il malware non presenta restrizioni geografiche, il che significa che il rischio è globale.
In pratica, qualsiasi utente iPhone può potenzialmente essere colpito.
Risposta di Apple e Sfide di Sicurezza
Apple ha ricevuto la segnalazione di tutte le 26 app e normalmente rimuove rapidamente contenuti malevoli revocando i certificati associati.
Tuttavia, questo caso evidenzia una sfida crescente: gli attaccanti sfruttano meccanismi legittimi come i profili enterprise per aggirare i controlli.
Avvertimento degli Esperti: Un’Entrata Silenziosa verso Attacchi Maggiori
L’esperto di Kaspersky Sergey Puzan ha sottolineato che queste app non sempre mostrano subito comportamenti dannosi.
Servono invece come punto di ingresso in una catena d’attacco più ampia, che si sviluppa gradualmente attraverso phishing e installazioni successive.
Segnali di Pericolo da Non Ignorare
Gli utenti dovrebbero prestare attenzione a comportamenti sospetti come reindirizzamenti improvvisi, richieste di installare profili o domande sulle seed phrase fuori dal wallet ufficiale.
Qualsiasi richiesta di installazione esterna all’App Store deve essere considerata un forte segnale di rischio.
Come Proteggersi
La protezione richiede attenzione costante. È fondamentale scaricare wallet solo da fonti ufficiali e verificare sempre lo sviluppatore.
Non bisogna mai installare profili enterprise non verificati e non condividere mai le seed phrase al di fuori del wallet ufficiale.
Aggiornare regolarmente iOS aiuta a ridurre vulnerabilità note.
Conclusione: Una Nuova Era di Minacce Crypto su Mobile
La scoperta di 26 app false sull’App Store Apple dimostra che le minacce crypto stanno diventando sempre più sofisticate.
Gli attaccanti non si basano più su truffe evidenti, ma su strategie multi-livello che sfruttano fiducia, distrazione e complessità tecnica.
Per gli investitori crypto, la consapevolezza e la prudenza non sono più opzionali: sono essenziali per proteggere i propri asset digitali.
