Kaspersky découvre 26 fausses applications de portefeuille crypto volant des fonds via l’App Store d’Apple

Kaspersky vient de découvrir 26 fausses applications de portefeuille de cryptomonnaie sur l’App Store d’Apple. Ces applications ont été conçues pour vider les actifs numériques des utilisateurs qui pensaient télécharger des applications authentiques.

Les applications frauduleuses se font passer pour des portefeuilles MetaMask, Ledger et Coinbase. Les utilisateurs installent ce qui semble être une application légitime, puis sont dirigés vers des pages de phishing qui ressemblent exactement à l’App Store. De là, les victimes téléchargent un portefeuille trojanisé qui vide leurs comptes. L’opération a commencé à l’automne 2025 et est probablement liée au malware iOS SparkKitty, selon l’équipe de recherche de Kaspersky. Les utilisateurs chinois étaient la cible principale, mais tout le monde dans le monde peut être touché puisque les applications n’avaient pas de restrictions régionales. Kaspersky a informé Apple du problème.

Comment fonctionnent les fausses applications

Les applications frauduleuses ne semblent pas suspectes au premier abord. Elles offrent des fonctionnalités aléatoires comme des jeux et des calculatrices pour passer le processus de révision initial d’Apple. Plutôt astucieux, en fait. Une fois qu’une personne télécharge l’une de ces applications, elle est incitée à installer un profil de développeur sur son iPhone. C’est là le mouvement clé.

L’installation de ce profil permet à l’application de récupérer des logiciels en dehors de l’App Store. Les vérifications de sécurité normales d’Apple ne le détectent pas. Les faux portefeuilles imitent ensuite parfaitement le comportement des portefeuilles réels, compromettant à la fois les portefeuilles chauds et les dispositifs de stockage à froid. Les utilisateurs pensent gérer leur crypto en toute sécurité, mais le malware est déjà à l’œuvre en arrière-plan.

Les cyberattaquants ont trouvé un moyen d’exploiter les outils de développement d’entreprise d’Apple. Ces outils étaient destinés aux entreprises pour distribuer des applications internes aux employés. Mais les criminels ont créé des comptes de développeur et les utilisent pour cibler n’importe quel appareil iOS. Tout ce dont ils ont besoin, c’est que les utilisateurs tombent dans le piège du phishing et installent ce profil de développeur. Même les iPhones, que l’on considère comme assez sécurisés, ne sont pas à l’abri de ce type d’attaque.

L’arnaque fonctionne car de nombreuses versions officielles des applications de portefeuille populaires ne sont pas disponibles sur l’App Store iOS chinois. Ce manque crée une demande, et les fausses applications la comblent. Les personnes cherchant des alternatives à MetaMask ou Ledger finissent par télécharger ces versions malveillantes à la place. L’équipe de Kaspersky a découvert que les applications utilisent une chaîne d’attaque sophistiquée où elles agissent comme point d’entrée pour installer plus de malware plus tard.

Des dispositifs matériels contrefaits rejoignent le mélange

Un faux dispositif Ledger Nano S Plus est apparu dans une opération de phishing distincte. Quelqu’un l’a acheté via une place de marché en ligne, et il semblait totalement authentique à première vue. Mais lorsqu’ils ont essayé de le vérifier avec Ledger Live, le dispositif a échoué.

Un chercheur brésilien a démonté l’appareil et a trouvé des composants dépareillés à l’intérieur. Le dispositif avait des antennes WiFi et Bluetooth supplémentaires qui ne devraient pas être là. Ces antennes étaient conçues pour transmettre des données, probablement en envoyant des informations sensibles aux attaquants. Le dispositif contrefait stockait les codes PIN et les phrases de récupération en texte clair, ce qui est pratiquement la pire pratique de sécurité possible. Les vrais appareils Ledger cryptent tout.

Lire aussi : HackerOne enregistre 85 000 rapports de bugs valides en 2025 alors que les outils d’IA envahissent les plateformes

Cette attaque n’a exploité aucune vulnérabilité dans le système de sécurité réel de Ledger. Elle s’est appuyée sur du matériel contrefait et du phishing pour compromettre les utilisateurs. Le cas du dispositif contrefait montre jusqu’où les cybercriminels sont prêts à aller pour compromettre la sécurité des portefeuilles crypto. Ils ne se contentent plus de créer de fausses applications. Ils fabriquent des dispositifs physiques qui ressemblent à l’identique aux vrais.

Lorsque le faux Ledger s’est connecté à Ledger Live, il a immédiatement échoué à la vérification. C’est alors que le propriétaire a su que quelque chose n’allait pas. En ouvrant l’appareil, il a découvert des composants qui ne correspondaient pas au matériel Ledger légitime. La présence de ces antennes supplémentaires était le plus grand signal d’alarme. Les portefeuilles matériels légitimes n’ont pas besoin de WiFi ou de Bluetooth pour fonctionner en toute sécurité.

Les fausses applications sur l’App Store ont utilisé une tactique de tromperie similaire. Elles incluaient des fonctionnalités de base qui les faisaient paraître inoffensives. Une application de calculatrice ou un simple jeu ne soulèverait pas de soupçons lors du processus de révision d’Apple. Mais une fois installées, les applications guidaient les utilisateurs vers une page Web de l’App Store factice. Cette page ressemblait exactement au véritable magasin d’Apple, avec le même design et la même mise en page.

Les utilisateurs pensaient télécharger l’application de portefeuille qu’ils voulaient. Au lieu de cela, ils ont obtenu une version trojanisée qui a immédiatement commencé à travailler pour voler leurs fonds. La méthodologie d’attaque reflète le malware SparkKitty, qui utilise également les outils de développement d’entreprise d’Apple pour la distribution. Une fois ce profil de développeur installé sur l’appareil de quelqu’un, les attaquants peuvent faire passer des applications qui contournent entièrement la sécurité d’Apple.

L’enquête de Kaspersky a révélé que ces applications ciblent spécifiquement le vide sur le marché chinois. Avec les applications de portefeuille officielles indisponibles, les utilisateurs recherchent activement des alternatives. Les fausses applications se classent bien dans les résultats de recherche et semblent suffisamment professionnelles pour tromper la plupart des gens. Les avis peuvent même être falsifiés pour ajouter de la légitimité.

Plus de contexte : Le groupe Lazarus de Corée du Nord cible les utilisateurs de Mac avec de fausses invitations à des réunions pour voler des portefeuilles crypto

L’incident du dispositif Ledger contrefait montre que l’achat de portefeuilles matériels auprès de sources non autorisées comporte des risques sérieux. Le dispositif semblait parfait à l’extérieur. Même emballage, même marque, même poids et sensation. Seul le processus de vérification de Ledger Live l’a détecté. Sans cette vérification, l’utilisateur aurait chargé sa crypto sur un dispositif compromis et tout perdu.

L’examen du firmware a révélé que le dispositif stockait tout en texte clair. Pas de cryptage, pas de mesures de sécurité. Chaque code PIN saisi, chaque phrase de récupération générée—tout était lisible par quiconque accédait à la mémoire de l’appareil. Les antennes WiFi et Bluetooth pouvaient transmettre ces données où les attaquants le voulaient.

Les deux cas mettent en évidence les menaces continues auxquelles les utilisateurs de crypto sont confrontés en ce moment. Attaques logicielles via de fausses applications, attaques matérielles via des dispositifs contrefaits. La sophistication ne cesse d’augmenter. Les attaquants ne comptent pas sur une seule méthode. Ils frappent les utilisateurs sous plusieurs angles, exploitant la confiance dans l’App Store d’Apple et les marques de portefeuilles matériels légitimes.