26 apps falsos no App Store roubam criptomoedas, alerta Kaspersky

A Kaspersky identificou 26 aplicativos falsos no App Store da Apple que se passam por carteiras cripto populares — incluindo MetaMask, Trust Wallet, Coinbase, Ledger, Bitpie, imToken e TokenPocket — para roubar seed phrases e drenar fundos de usuários iPhone. A campanha, batizada de FakeWallet, está ativa desde o outono de 2025 e foi atribuída pela empresa de segurança ao grupo SparkKitty.

O alerta foi publicado em 22 de abril de 2026 pela equipe de pesquisa de ameaças da Kaspersky, em sua plataforma Securelist. Em resposta à divulgação responsável feita pela empresa de cibersegurança, a Apple removeu 25 dos 26 aplicativos antes da publicação do relatório, e o último foi tirado do ar pouco depois com o encerramento da conta do desenvolvedor envolvido.

O caso, no entanto, traz duas más notícias para o ecossistema cripto: a primeira é que a curadoria da App Store, historicamente apontada como mais rigorosa que a do Google Play, foi penetrada por um esquema sofisticado. A segunda é que o vetor de ataque não depende de exploit técnico no iOS — ele depende exclusivamente de engenharia social aplicada sobre um único elemento que continua sendo o ponto mais frágil de toda a custódia cripto: a seed phrase.

Como o golpe funciona

O esquema combina três técnicas conhecidas em um único pacote: typosquatting, phishing e cavalo de Troia.

1. Typosquatting visual e textual. Os apps falsos usam ícones quase idênticos aos das carteiras legítimas e nomes propositalmente parecidos, como “LeddgerNew” no lugar de “Ledger” ou variações sutis de “MetaMask” e “Trust Wallet”. Em uma busca rápida no App Store, o usuário desatento clica no errado.
2. Redirecionamento para página de phishing. Ao abrir o app falso, em vez de carregar uma carteira funcional, ele redireciona o usuário para uma página no navegador que imita a interface da App Store oficial. Essa página entrega uma versão trojanizada do aplicativo legítimo — visualmente indistinguível.
3. Falsa recuperação de carteira. Quando o usuário abre o app trojanizado, ele encontra uma tela de erro fabricada que aciona um suposto “processo de recuperação”. O app pede então a seed phrase de 12 ou 24 palavras, alegando ser para restaurar o acesso à carteira. No caso de carteiras frias como a Ledger, o golpe usa telas falsas de “verificação de segurança” que pedem a entrada manual da seed.
4. Drenagem. Com a seed em mãos, o atacante restaura a carteira da vítima em seu próprio dispositivo. A partir daí, todos os fundos são transferidos sem necessidade de senha adicional, autenticação biométrica ou qualquer confirmação. A vítima não tem como reverter.

As carteiras imitadas

De acordo com o relatório da Kaspersky e a cobertura do The Hacker News, os 26 aplicativos imitam algumas das carteiras mais populares do mercado:

• MetaMask — carteira líder no ecossistema Ethereum/EVM
• Trust Wallet — carteira oficial da Binance, multichain
• Coinbase Wallet — carteira self-custody da exchange Coinbase
• Ledger Live — companion app oficial das hardware wallets Ledger
• Bitpie — carteira chinesa multichain popular na Ásia
• imToken — outra carteira de origem chinesa, com forte base de usuários cripto
• TokenPocket — multichain wallet popular na Ásia

O alvo principal eram contas Apple ID configuradas para a região da China, onde muitas carteiras oficiais são restringidas pelas regras locais de distribuição de apps cripto. Mas o alerta vale globalmente: os mesmos métodos podem ser replicados em qualquer mercado.

A conexão com o SparkKitty

A Kaspersky atribui a campanha, com confiança moderada, ao mesmo grupo por trás do SparkKitty, um trojan descoberto em 2025 que também tinha como alvo carteiras cripto. Dois indícios suportam a atribuição: alguns dos apps maliciosos usam módulos de OCR (reconhecimento óptico de caracteres) para roubar seed phrases que estejam fotografadas em prints de tela do dispositivo, técnica característica do SparkKitty; e a análise dos repositórios de código revela falantes nativos de chinês mandarim como autores.

Por que isso é grave para todo o ecossistema

O incidente quebra uma narrativa popular dentro do mercado cripto: a de que o iOS, por sua App Store curada, seria um ambiente naturalmente seguro para guardar criptomoedas. Conforme apurou o Bleeping Computer, os apps passaram pela revisão automatizada e humana da Apple e ficaram ativos por meses antes de serem identificados pela Kaspersky. Mesmo com a remoção rápida pela empresa, uma janela de exposição dessa duração é tempo mais que suficiente para causar prejuízos relevantes.

Como observa a SecurityWeek, a tendência é que esse tipo de campanha se torne mais comum, não menos. À medida que o volume de cripto em circulação cresce e mais usuários novatos entram no mercado, o incentivo para criar variantes locais de FakeWallet cresce na mesma proporção.

Como se proteger

Um conjunto de práticas reduz drasticamente o risco — e a maioria não exige conhecimento técnico avançado, apenas disciplina:

• ✓ Nunca digite sua seed phrase em apps. Carteiras legítimas só pedem a seed quando você está restaurando uma carteira em um novo aparelho — e o app real nunca envia a seed pela internet. Se aparecer pedido em qualquer outro contexto, é fraude.
• ✓ Baixe carteiras pelos sites oficiais. Antes de instalar qualquer app, vá no site oficial da carteira (metamask.io, ledger.com, trustwallet.com etc.) e use o link de download de lá. Confirma o nome exato do desenvolvedor antes de baixar.
• ✓ Apague prints da seed da galeria. Anota a seed em papel ou em chapa metálica resistente a fogo e água. Nunca em foto, anotação digital, gerenciador de senha ou cloud.
• ✓ Para valores relevantes, use hardware wallet. A seed phrase nunca sai do dispositivo físico. Mesmo que o telefone seja comprometido, o atacante precisa também acessar fisicamente o hardware e o PIN para conseguir mover fundos.
• ✓ Cuidado redobrado com nomes parecidos. “Leddger”, “MetaMaskk”, “TrustVVallet” — qualquer letra duplicada, trocada ou faltando é sinal de typosquatting. A confirmação visual do ícone não basta.
• ✓ Habilite 2FA em todas as exchanges. Mesmo se a seed da hot wallet for comprometida, contas em exchanges com 2FA por hardware (FIDO2) continuam protegidas.

A lição estrutural

O caso FakeWallet é apenas a versão de 2026 de um padrão que se repete desde os primeiros anos do Bitcoin: o ponto mais frágil de toda a infraestrutura cripto não é o blockchain, não é a criptografia e nem mesmo o app — é o ser humano que segura a seed. Toda a arquitetura técnica do mercado descentralizado pode ser perfeita, e ainda assim um único momento de distração na hora de instalar um app pode custar tudo.

A boa notícia é que existem ferramentas hoje, acessíveis e relativamente baratas, que isolam fisicamente o ponto frágil. A má notícia é que muita gente só descobre isso depois de perder. Esse alerta da Kaspersky é uma chance de descobrir antes.

Fontes consultadas

• Kaspersky — Press release oficial
• Securelist — Análise técnica do FakeWallet
• The Hacker News — Cobertura técnica
• Bleeping Computer — Foco no caso China
• SecurityWeek — Análise de impacto
• Blog Kaspersky — Detalhamento adicional
• Portal do Bitcoin — Cobertura em PT-BR

Leituras relacionadas

• Como criptomoedas são roubadas: golpes e proteção
• Hardware wallet para iniciantes: o que é e como escolher
• Como proteger sua seed phrase: guia definitivo
• Phishing com IA: golpes cripto quase impossíveis de detectar

Este conteúdo é de caráter informativo e educacional. Não constitui recomendação de investimento. Criptomoedas envolvem riscos técnicos e de custódia específicos. Os links de produtos KriptoBR são monetizados por meio de comissionamento direto ao site KriptoBR.com.br, distribuidora oficial das marcas mencionadas.