Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
App Store sotto attacco FakeWallet: 26 finte app rubano seed phrase e svuotano i wallet crypto
Negli ultimi mesi è stata individuata una nuova ondata di app malevole su Apple App Store pensate per rubare criptovalute, sfruttando un elemento cruciale per la sicurezza dei wallet: la seed phrase o frase di recupero. La campagna, composta da 26 applicazioni chiamate FakeWallet, si presenta come una serie di finti wallet crypto che imitano servizi molto noti e usati ogni giorno da chi gestisce asset digitali.
Le app FakeWallet riproducono icone e nomi simili a quelli di wallet popolari come MetaMask, Trust Wallet, Coinbase, TokenPocket, Ledger, imToken e Bitpie. Per aumentare le probabilità di inganno, spesso inseriscono piccoli errori di battitura nel nome, ad esempio varianti che ricordano l’originale ma risultano difficili da notare a colpo d’occhio. In altri casi, il nome e l’icona non sembrano nemmeno collegati al mondo crypto e funzionano come esca per portare l’utente su pagine esterne.
Il comportamento tipico prevede che, una volta aperta l’app, l’utente venga reindirizzato al browser verso pagine che simulano l’interfaccia dell’App Store o di un wallet legittimo. Da lì viene proposta una versione modificata e trojanizzata del wallet, con l’obiettivo di convincere la vittima a inserire la propria frase mnemonica durante una finta procedura di verifica o ripristino. In alcune varianti, la sottrazione della seed phrase avviene intercettando direttamente la schermata in cui l’utente digita le parole di recupero, agganciando il codice relativo a quel flusso.
Un dettaglio importante per la sicurezza iOS è che queste app risultavano scaricabili direttamente dall’Apple App Store a condizione che l’account Apple fosse impostato sulla Cina. Questa scelta rende la minaccia particolarmente insidiosa, perché riduce la diffidenza di chi tende a considerare lo store ufficiale come garanzia assoluta. Dopo la segnalazione molte app sono state rimosse, ma il modello di attacco resta replicabile.
Lo scopo finale è ottenere le chiavi di accesso a hot wallet e cold wallet, esfiltrare i dati verso server esterni e prendere il controllo dei fondi per svuotarli o avviare transazioni fraudolente. Alcuni moduli risultano anche capaci di usare OCR per individuare frasi di recupero presenti in immagini o schermate, aumentando ulteriormente il rischio per chi salva informazioni sensibili in modo non sicuro.