Le false app di crypto tornano a far parlare, questa volta dentro l’App Store. Secondo quanto ricostruito da Kaspersky, sono state individuate 26 applicazioni che imitano portafogli di criptovalute molto noti e che puntano a portare l’utente fuori dal percorso normale di installazione, fino a farlo cadere in una trappola utile a sottrarre fondi digitali. La campagna sarebbe attiva almeno dall’autunno 2025 e viene collegata con grado di certezza moderato agli autori dietro SparkKitty.

Il meccanismo è più subdolo di quanto sembri. Le app non si presentano subito come malware classico. In molti casi hanno funzioni fittizie, per esempio giochi, calcolatrici o to-do list, così da sembrare normali e ridurre i sospetti. Una volta aperte, però, reindirizzano verso una pagina web che imita l’App Store e invita a scaricare di nuovo il presunto wallet desiderato. È in quel passaggio che si apre la catena dell’attacco.

False app crypto: quali wallet imitano

Le applicazioni individuate riproducevano nomi, icone e identità visiva di wallet molto conosciuti. Tra i marchi imitati ci sono MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken e Bitpie. Chi ha già familiarità con questi servizi potrebbe quindi abbassare la guardia, soprattutto se trova un nome simile e una grafica credibile.

Kaspersky spiega anche un dettaglio interessante: le app iOS ufficiali di alcuni di questi wallet non risultano disponibili nell’App Store cinese, e quasi tutte quelle di phishing trovate erano accessibili proprio agli utenti iOS in Cina. Questo però non rende il problema locale. Le app dannose non presentano restrizioni regionali rigide e, in teoria, potrebbero colpire anche fuori da quel mercato. L’azienda ha già segnalato le applicazioni ad Apple.

False app crypto: come funziona l’attacco

La fase centrale dell’attacco passa attraverso strumenti di sviluppo usati normalmente per la distribuzione aziendale delle app. L’obiettivo è confondere l’utente e convincerlo ad aggiungere un profilo sviluppatore sul dispositivo. Una volta autorizzato quel profilo, diventa possibile installare app al di fuori del normale perimetro dell’App Store, comprese quelle malevole.

Da lì viene installata un’app wallet infettata da trojan, adattata in base al servizio che sta fingendo di rappresentare. La cosa importante è che il bersaglio non sono solo gli hot wallet, cioè quelli usati sullo stesso dispositivo connesso a Internet, ma anche i cold wallet, quindi i dispositivi hardware pensati per conservare le chiavi private offline.

Nel caso degli hot wallet, il malware cerca di intercettare la schermata di recupero o di creazione del portafoglio per rubare la seed phrase. Se l’utente la inserisce, gli aggressori ottengono accesso completo ai fondi. Nel caso dei cold wallet, la strategia cambia: l’app malevola sfrutta il phishing per convincere la vittima a inserire la frase seed, anche se l’app legittima non la richiederebbe mai in quel contesto. Kaspersky fa proprio l’esempio di Ledger, ricordando che l’app ufficiale per smartphone non chiede mai quella frase perché resta custodita nel dispositivo hardware dedicato.

Perché tutto questo va preso sul serio

L’aspetto più delicato è che la prima app scaricata non appare sempre pericolosa in modo evidente. Il rischio, quindi, non nasce soltanto dal file finale infetto, ma dal percorso costruito per far abbassare la soglia di attenzione. Secondo Sergey Puzan, Mobile Malware Expert di Kaspersky, pagando la quota necessaria e aprendo un account sviluppatore, gli attaccanti possono provare a colpire qualsiasi dispositivo iOS se l’utente cade nella trappola del phishing. Lo stesso esperto avverte che potrebbero emergere altre app crypto infettate da trojan distribuite con tattiche simili.

Questo punto va letto bene, soprattutto perché molti utenti associano iPhone e App Store a un contesto chiuso e quindi automaticamente sicuro. In pratica, il caso mostra che la fiducia nella piattaforma non basta quando l’attacco si sposta sulla manipolazione del comportamento dell’utente. Se una persona viene convinta a installare un profilo sviluppatore e poi a inserire la propria seed phrase, il danno può essere immediato anche su un dispositivo percepito come più protetto della media.

Come difendersi

Kaspersky suggerisce alcune regole semplici ma fondamentali. Prima di tutto, bisogna fare attenzione ai link aperti dentro le app, specialmente quando una pagina si apre in modo inatteso. Poi c’è un passaggio ancora più importante: non installare profili sviluppatore a meno che non arrivino davvero dal proprio datore di lavoro o da un contesto professionale verificato.

C’è poi la regola che vale più di tutte per chi usa wallet crypto: la frase di recupero va inserita solo sul dispositivo wallet previsto, e solo quando serve davvero. Se un’app la chiede in una fase anomala, il sospetto deve scattare subito. Infine, conviene verificare sempre che l’app arrivi da uno sviluppatore affidabile, anche quando il download passa dall’App Store; in questi casi è utile controllare i riferimenti ufficiali sul sito dello sviluppatore prima di procedere.

Il quadro emerso è chiaro: le false app di crypto non si limitano a copiare un’icona o un nome, ma costruiscono un percorso credibile per spingere l’utente a consegnare da solo la chiave d’accesso ai propri fondi. Ed è proprio questo il punto più delicato dell’intera vicenda. Quando in gioco ci sono seed phrase e wallet, un passaggio fatto con leggerezza può bastare per perdere tutto.