![\"Aplicativos](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/05\/11102225\/ios-macos-fake-crypto-apps-01.jpg\")
<\/a>Aplicativos de phishing na App Store aparecendo nos resultados de busca por Ledger Wallet (anteriormente Ledger Live)<\/p><\/div>\n
Al\u00e9m desses, identificamos diversos aplicativos com nomes e \u00edcones que n\u00e3o tinham qualquer rela\u00e7\u00e3o com criptomoedas. No entanto, seus banners promocionais alegavam que poderiam ser usados para baixar e instalar aplicativos oficiais de carteiras digitais que n\u00e3o est\u00e3o dispon\u00edveis na App Store da regi\u00e3o.<\/p>\n
<\/a>Banners em p\u00e1ginas de aplicativos afirmando que podem ser usados para baixar o aplicativo oficial do TokenPocket, que n\u00e3o est\u00e1 dispon\u00edvel na App Store local.<\/p><\/div>\n
Ao todo, identificamos 26 aplicativos de phishing que se passam pelas seguintes carteiras populares:<\/p>\n
- \n
- MetaMask<\/li>\n
- Ledger<\/li>\n
- Trust Wallet<\/li>\n
- Coinbase<\/li>\n
- TokenPocket<\/li>\n
- imToken<\/li>\n
- Bitpie<\/li>\n<\/ul>\n
Alguns outros aplicativos muito semelhantes ainda n\u00e3o apresentavam funcionalidades de phishing, mas todos os ind\u00edcios apontam que est\u00e3o vinculados aos mesmos agentes maliciosos. \u00c9 prov\u00e1vel que pretendam adicionar funcionalidades maliciosas em atualiza\u00e7\u00f5es futuras.<\/p>\n
Para conseguir a aprova\u00e7\u00e3o desses aplicativos na App Store, os desenvolvedores inclu\u00edram funcionalidades b\u00e1sicas, como jogos, calculadoras ou gerenciadores de tarefas.<\/p>\n
Instalar qualquer um desses clones \u00e9 o primeiro passo para perder seus criptoativos. Embora os aplicativos em si n\u00e3o roubem diretamente criptomoedas, frases-semente (frases de recupera\u00e7\u00e3o) ou senhas, eles funcionam como isca, explorando a confian\u00e7a do usu\u00e1rio por estarem listados na App Store oficial. Ap\u00f3s a instala\u00e7\u00e3o e uso, no entanto, o aplicativo abre um site de phishing no navegador da v\u00edtima, projetado para imitar a App Store, e ent\u00e3o induz o usu\u00e1rio a instalar uma vers\u00e3o comprometida da carteira de criptomoedas correspondente. Os invasores criaram m\u00faltiplas vers\u00f5es desses m\u00f3dulos maliciosos, cada uma adaptada a uma carteira espec\u00edfica. \u00c9 poss\u00edvel encontrar uma an\u00e1lise t\u00e9cnica detalhada desse ataque em nossa publica\u00e7\u00e3o no Securelist<\/a>.<\/p>\n
Uma v\u00edtima que cai no golpe \u00e9 inicialmente induzida a instalar um perfil de provisionamento, que permite o sideload de aplicativos em um iPhone fora da App Store. Em seguida, esse perfil \u00e9 utilizado para instalar o pr\u00f3prio aplicativo malicioso.<\/p>\n
![\"Um](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/05\/11102532\/ios-macos-fake-crypto-apps-03.jpg\")
<\/a>Um site falso da App Store induzindo o usu\u00e1rio a instalar um aplicativo que se passa pelo Ledger Wallet<\/p><\/div>\n
No exemplo acima, o malware \u00e9 baseado no aplicativo original da Ledger, com funcionalidades de trojan integradas. O aplicativo \u00e9 visualmente id\u00eantico ao original, mas, ao ser conectado a uma carteira de hardware, exibe uma janela solicitando a frase-semente, supostamente para restaurar o acesso. Esse n\u00e3o \u00e9 o procedimento padr\u00e3o. Normalmente, \u00e9 necess\u00e1rio apenas inserir um PIN, nunca a frase de recupera\u00e7\u00e3o. Caso a v\u00edtima seja enganada pela aparente legitimidade do aplicativo e insira sua frase-semente, essa informa\u00e7\u00e3o \u00e9 imediatamente enviada ao servidor dos invasores, concedendo a eles acesso total aos criptoativos da v\u00edtima.<\/p>\n
Sideload fora da App Store<\/h2>\n
Um componente cr\u00edtico desse esquema envolve a instala\u00e7\u00e3o de malware no iPhone da v\u00edtima por meio da evas\u00e3o da App Store e de seu processo de verifica\u00e7\u00e3o. Esse m\u00e9todo \u00e9 executado de forma semelhante ao infostealer para iOS SparkKitty<\/a>, identificado anteriormente. Os invasores conseguiram obter acesso ao Apple Developer Enterprise Program<\/a>. Por apenas US$ 299 por ano, e ap\u00f3s um processo que inclui entrevista e verifica\u00e7\u00e3o corporativa, esse programa permite que organiza\u00e7\u00f5es emitam seus pr\u00f3prios perfis de configura\u00e7\u00e3o e aplicativos para download direto nos dispositivos dos usu\u00e1rios, sem necessidade de publica\u00e7\u00e3o na App Store.<\/p>\n
![\"Para](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/05\/11102641\/ios-macos-fake-crypto-apps-04.jpg\")
<\/a>Para instalar o aplicativo, a v\u00edtima precisa primeiro instalar um perfil de configura\u00e7\u00e3o que viabiliza o download direto do malware, contornando a App Store. Observe o \u00edcone de verifica\u00e7\u00e3o verde<\/p><\/div>\n
De modo geral, perfis corporativos s\u00e3o projetados para permitir que organiza\u00e7\u00f5es distribuam aplicativos internos diretamente nos dispositivos de seus colaboradores. Esses aplicativos n\u00e3o precisam ser publicados na App Store e podem ser instalados em um n\u00famero ilimitado de dispositivos. Infelizmente, esse recurso \u00e9 frequentemente explorado de forma indevida. Esses perfis s\u00e3o amplamente utilizados para distribuir softwares que n\u00e3o atendem \u00e0s pol\u00edticas da Apple, como cassinos on-line, mods pirateados e, evidentemente, malware.<\/p>\n
\u00c9 exatamente por isso que o site falso que imita a Apple Store induz o usu\u00e1rio a instalar um perfil de configura\u00e7\u00e3o antes de disponibilizar o aplicativo assinado por esse perfil.<\/p>\n
Roubo de criptomoedas por meio de aplicativos e extens\u00f5es no macOS<\/h2>\n
Muitos usu\u00e1rios de criptomoedas preferem gerenciar suas carteiras em um computador, em vez de um smartphone, optando com frequ\u00eancia por dispositivos com macOS. N\u00e3o surpreende, portanto, que a maioria dos infostealers voltados para macOS tenha como alvo dados de carteiras de criptomoedas, de uma forma ou de outra. Recentemente, por\u00e9m, uma nova t\u00e1tica maliciosa vem ganhando for\u00e7a. Al\u00e9m de roubar dados armazenados, os atacantes passaram a incorporar di\u00e1logos de phishing diretamente em aplicativos leg\u00edtimos de carteiras j\u00e1 instalados nos computadores das v\u00edtimas. No in\u00edcio deste ano, o infostealer MacSync<\/a> passou a utilizar esse recurso. Ele se infiltra nos sistemas por meio de ataques do tipo ClickFix<\/a>. Usu\u00e1rios que buscam determinados softwares s\u00e3o direcionados a sites falsos com instru\u00e7\u00f5es fraudulentas para instalar o aplicativo executando comandos no Terminal. Esse processo executa o infostealer, que coleta senhas e cookies armazenados no Chrome, conversas de mensageiros populares e dados de extens\u00f5es de carteiras de criptomoedas baseadas em navegador.<\/p>\n
No entanto, o ponto mais relevante ocorre na etapa seguinte. Se a v\u00edtima j\u00e1 possui um aplicativo leg\u00edtimo da Trezor ou da Ledger instalado, o infostealer baixa m\u00f3dulos adicionais e substitui partes do aplicativo por c\u00f3digo trojanizado. Em seguida, o malware assina novamente o arquivo modificado, de modo que, ap\u00f3s essas altera\u00e7\u00f5es, o Gatekeeper, mecanismo de prote\u00e7\u00e3o nativo do macOS, permita a execu\u00e7\u00e3o do aplicativo sem solicitar permiss\u00f5es adicionais ao usu\u00e1rio. Embora essa t\u00e9cnica nem sempre funcione, ela \u00e9 eficaz em aplicativos mais simples desenvolvidos com base no Electron<\/a>.<\/p>\n
![\"O](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/05\/11102745\/ios-macos-fake-crypto-apps-05.jpg\")
<\/a>O aplicativo trojanizado, ent\u00e3o, solicita ao usu\u00e1rio a frase-semente da carteira<\/p><\/div>\n
Ao abrir o aplicativo comprometido, ele simula um erro e inicia um suposto \u201cprocesso de recupera\u00e7\u00e3o\u201d, solicitando que o usu\u00e1rio informe a frase-semente.<\/p>\n
Al\u00e9m do MacSync, desenvolvedores de outros infostealers populares para macOS tamb\u00e9m passaram a adotar essa abordagem de trojaniza\u00e7\u00e3o. J\u00e1 descrevemos anteriormente um mecanismo semelhante utilizado para comprometer carteiras como Exodus e Bitcoin-Qt<\/a>.<\/p>\n
Como manter seus criptoativos seguros<\/h2>\n
Repetidamente, os invasores demonstram que nenhum dispositivo \u00e9 totalmente invulner\u00e1vel. Com tantos desenvolvedores e usu\u00e1rios de criptomoedas utilizando macOS e iOS, agentes maliciosos passaram a estruturar ataques em escala industrial para ambas as plataformas. Manter-se seguro exige uma abordagem de defesa em profundidade, aliada a ceticismo e vigil\u00e2ncia constantes.<\/p>\n
- \n
- Baixe aplicativos apenas de fontes confi\u00e1veis, como o site oficial do desenvolvedor ou sua p\u00e1gina na App Store. Como at\u00e9 mesmo lojas oficiais podem conter malware, verifique sempre o desenvolvedor do aplicativo.<\/li>\n
- Analise tamb\u00e9m a avalia\u00e7\u00e3o do app, a data de publica\u00e7\u00e3o e o n\u00famero de downloads.<\/li>\n
- Leia as avalia\u00e7\u00f5es, especialmente as negativas. Ordene as avalia\u00e7\u00f5es por data para analisar a vers\u00e3o mais recente. Os invasores frequentemente come\u00e7am com um aplicativo totalmente leg\u00edtimo, que acumula boas avalia\u00e7\u00f5es, antes de introduzir funcionalidades maliciosas em uma atualiza\u00e7\u00e3o posterior.<\/li>\n
- Nunca copie e cole comandos no Terminal sem ter 100% de certeza sobre o que eles fazem. Esses ataques se tornaram muito populares ultimamente, muitas vezes disfar\u00e7ados como etapas de instala\u00e7\u00e3o para aplicativos de IA<\/a> como Claude Code ou OpenClaw.<\/li>\n
- Utilize uma solu\u00e7\u00e3o de seguran\u00e7a abrangente em todos os seus computadores e smartphones. Recomendamos o Kaspersky Premium<\/a><\/strong>. Essa medida reduz significativamente o risco de acessar sites de phishing ou instalar aplicativos maliciosos.<\/li>\n
- Nunca insira sua frase-semente em um aplicativo de carteira de hardware, em um site ou em um chat. Em todos os cen\u00e1rios, seja migrando para uma nova carteira, reinstalando aplicativos ou recuperando uma carteira, a frase inicial deve ser inserida exclusivamente no pr\u00f3prio dispositivo de hardware<\/strong> (nunca em um aplicativo m\u00f3vel ou de desktop).<\/li>\n
- Sempre verifique o endere\u00e7o do destinat\u00e1rio diretamente na tela da carteira de hardware, como forma de prevenir ataques de substitui\u00e7\u00e3o de endere\u00e7o.<\/li>\n
- Armazene suas frases-semente da maneira mais segura poss\u00edvel, como em uma placa de metal<\/a> ou em um envelope lacrado em um cofre. \u00c9 melhor n\u00e3o armazen\u00e1-las em um computador, mas se essa for sua \u00fanica op\u00e7\u00e3o, use um cofre seguro e criptografado como Kaspersky Password Manager<\/a><\/strong>.<\/li>\n<\/ul>\n
Ainda acredita que dispositivos da Apple s\u00e3o totalmente seguros? Reavalie essa percep\u00e7\u00e3o ao conhecer os seguintes casos:<\/p><\/blockquote>\n
- \n
- \n
O iPhone n\u00e3o \u00e9 t\u00e3o invenc\u00edvel assim: uma an\u00e1lise do DarkSword e do Coruna<\/a><\/p><\/blockquote>\n<\/li>\n
- \n
Predador vs. iPhone: a arte da vigil\u00e2ncia invis\u00edvel<\/a><\/p><\/blockquote>\n<\/li>\n
- \n
Os seus fones de ouvido Bluetooth est\u00e3o espionando voc\u00ea?<\/a><\/p><\/blockquote>\n<\/li>\n
- \n
- \n
- Utilize uma solu\u00e7\u00e3o de seguran\u00e7a abrangente em todos os seus computadores e smartphones. Recomendamos o Kaspersky Premium<\/a><\/strong>. Essa medida reduz significativamente o risco de acessar sites de phishing ou instalar aplicativos maliciosos.<\/li>\n