{"id":665,"date":"2026-04-24T13:57:42","date_gmt":"2026-04-24T13:57:42","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/26-aplicaciones-de-billetera-falsa-encontradas-en-la-app-store-de-apple-dirigidas-a-frases-de-semillas-criptograficas-cyberdefensa-mx\/"},"modified":"2026-04-24T13:57:42","modified_gmt":"2026-04-24T13:57:42","slug":"26-aplicaciones-de-billetera-falsa-encontradas-en-la-app-store-de-apple-dirigidas-a-frases-de-semillas-criptograficas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/26-aplicaciones-de-billetera-falsa-encontradas-en-la-app-store-de-apple-dirigidas-a-frases-de-semillas-criptograficas-cyberdefensa-mx\/","title":{"rendered":"26 aplicaciones de billetera falsa encontradas en la App Store de Apple dirigidas a frases de semillas criptogr\u00e1ficas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto un conjunto de aplicaciones maliciosas en la App Store de Apple que se hacen pasar por carteras de criptomonedas populares en un intento de robar frases de recuperaci\u00f3n y claves privadas desde al menos el oto\u00f1o de 2025.<\/p>\n

\u00abUna vez lanzadas, estas aplicaciones redirigen a los usuarios a p\u00e1ginas del navegador dise\u00f1adas para parecerse a la App Store y distribuyen versiones troyanizadas de billeteras leg\u00edtimas\u00bb, dijo el investigador de Kaspersky Sergey Puzan. dicho<\/a>. \u00abLas aplicaciones infectadas est\u00e1n dise\u00f1adas espec\u00edficamente para secuestrar frases de recuperaci\u00f3n y claves privadas\u00bb.<\/p>\n

Las 26 aplicaciones, denominadas colectivamente Cartera falsa<\/strong>imita varias carteras populares como Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket y Trust Wallet. Desde entonces, Apple ha eliminado muchas de estas aplicaciones tras su divulgaci\u00f3n. No hay evidencia de que estas aplicaciones se hayan distribuido a trav\u00e9s de Google Play Store.<\/p>\n

Si bien las billeteras de criptomonedas maliciosas distribuidas en el pasado a trav\u00e9s de sitios web falsos han abusado de los perfiles de aprovisionamiento de iOS para que los usuarios las instalen, el \u00faltimo esquema de robo de criptomonedas es una mejora en varios sentidos. Para empezar, las aplicaciones est\u00e1n disponibles directamente para descargar desde la App Store de Apple si un usuario tiene su cuenta de Apple configurada en China.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Estas aplicaciones tienen \u00edconos que reflejan el original pero tienen errores tipogr\u00e1ficos intencionales en sus nombres (por ejemplo, LeddgerNew) para enga\u00f1ar a los usuarios desprevenidos para que las descarguen. En algunos casos, los nombres y los \u00edconos de las aplicaciones no tienen conexi\u00f3n con las criptomonedas. En cambio, se utilizan como marcadores de posici\u00f3n para indicar a los usuarios que descarguen la aplicaci\u00f3n de billetera oficial a trav\u00e9s de ellos, alegando que \u00abno est\u00e1n disponibles en la App Store\u00bb debido a razones regulatorias.<\/p>\n

Kaspersky dijo que tambi\u00e9n identific\u00f3 varias aplicaciones similares probablemente vinculadas al mismo actor de amenazas que no tienen funciones maliciosas habilitadas, pero que imitan un servicio benigno, como un juego, una calculadora o un planificador de tareas. Una vez iniciadas, estas aplicaciones abren un enlace en el navegador web y aprovechan los perfiles de aprovisionamiento empresarial para instalar la aplicaci\u00f3n de billetera en el dispositivo de la v\u00edctima.<\/p>\n

\u00abLos atacantes han producido una amplia variedad de m\u00f3dulos maliciosos, cada uno adaptado a una billetera espec\u00edfica\u00bb, dijo Puzan. \u00abEn la mayor\u00eda de los casos, el malware se distribuye mediante una inyecci\u00f3n de biblioteca maliciosa, aunque tambi\u00e9n nos hemos encontrado con versiones en las que se modific\u00f3 el c\u00f3digo fuente original de la aplicaci\u00f3n\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

El objetivo final de estas infecciones es buscar frases mnemot\u00e9cnicas de billeteras fr\u00edas y calientes y filtrarlas a un servidor externo, lo que permite a los operadores tomar el control de las billeteras de las v\u00edctimas y drenar los activos de criptomonedas o iniciar transacciones fraudulentas.<\/p>\n

Las frases iniciales se capturan conectando el c\u00f3digo responsable de la pantalla donde el usuario ingresa su frase de recuperaci\u00f3n o entregando una p\u00e1gina de phishing que indica a la v\u00edctima que ingrese sus mnemot\u00e9cnicos como parte de un supuesto paso de verificaci\u00f3n.<\/p>\n

Se sospecha que la campa\u00f1a podr\u00eda ser obra de actores de amenazas vinculados a la campa\u00f1a del troyano SparkKitty el a\u00f1o pasado, dado que algunas de las aplicaciones infectadas tambi\u00e9n vienen con un m\u00f3dulo para robar frases de recuperaci\u00f3n de billetera mediante reconocimiento \u00f3ptico de caracteres (OCR), y que ambas campa\u00f1as parecen ser obra de hablantes nativos de chino y apuntan espec\u00edficamente a activos de criptomonedas.<\/p>\n

\u00abLa campa\u00f1a FakeWallet est\u00e1 ganando impulso mediante el empleo de nuevas t\u00e1cticas, que van desde entregar cargas \u00fatiles a trav\u00e9s de aplicaciones de phishing publicadas en la App Store hasta integrarse en aplicaciones de billetera fr\u00eda y usar sofisticadas notificaciones de phishing para enga\u00f1ar a los usuarios para que revelen sus mnemot\u00e9cnicos\u00bb, dijo Kaspersky.<\/p>\n

Surge el marco de malware para Android MiningDropper<\/h3>\n

El descubrimiento se produce cuando Cyble arroja luz sobre un sofisticado marco de distribuci\u00f3n de malware para Android conocido como Miner\u00edaGotero<\/strong> (tambi\u00e9n conocido como BeatBanker) que combina la miner\u00eda de criptomonedas con el robo de informaci\u00f3n, el acceso remoto y el malware bancario en ataques dirigidos a usuarios en India, as\u00ed como en Am\u00e9rica Latina, Europa y Asia como parte de una campa\u00f1a BTMOB RAT.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

MiningDropper se ha distribuido a trav\u00e9s de una versi\u00f3n troyanizada del proyecto de aplicaci\u00f3n de c\u00f3digo abierto para Android lumolight<\/a>y las campa\u00f1as utilizan sitios web falsos que se hacen pasar por instituciones bancarias y oficinas regionales de transporte para propagar el malware. Una vez iniciado, activa una secuencia de varias etapas para extraer el minero y las cargas \u00fatiles del troyano de un archivo de activos cifrados presente en el paquete.<\/p>\n

\"\"<\/a><\/div>\n

\u00abMiningDropper emplea una arquitectura de entrega de carga \u00fatil de m\u00faltiples etapas que combina ofuscaci\u00f3n nativa basada en XOR, preparaci\u00f3n de carga \u00fatil cifrada con AES, carga din\u00e1mica DEX y t\u00e9cnicas anti-emulaci\u00f3n\u00bb, Cyble dicho<\/a>. \u00abMiningDropper emplea una arquitectura de entrega de carga \u00fatil de m\u00faltiples etapas que combina ofuscaci\u00f3n nativa basada en XOR, preparaci\u00f3n de carga \u00fatil cifrada con AES, carga din\u00e1mica de DEX y t\u00e9cnicas anti-emulaci\u00f3n\u00bb.<\/p>\n

\u00abMiningDropper demuestra una arquitectura de malware de Android modular y en capas dise\u00f1ada para dificultar el an\u00e1lisis est\u00e1tico y al mismo tiempo brindar a los actores de amenazas flexibilidad en la entrega de la carga \u00fatil final. Este dise\u00f1o permite al actor de amenazas reutilizar el mismo marco de distribuci\u00f3n e instalaci\u00f3n en cientos de muestras mientras adapta el objetivo de monetizaci\u00f3n final a las necesidades operativas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto un conjunto de aplicaciones maliciosas en la App Store de Apple que se hacen pasar por carteras de criptomonedas populares en un intento de robar frases de recuperaci\u00f3n y claves privadas desde al menos el oto\u00f1o de 2025. \u00abUna vez lanzadas, estas aplicaciones redirigen a los usuarios a p\u00e1ginas del […]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[786,2083,11,2081,243,24,431,2082,1488,1538,2085,2084],"class_list":["post-665","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aplicaciones","tag-app","tag-apple","tag-billetera","tag-criptograficas","tag-cyberdefensa-mx","tag-dirigidas","tag-encontradas","tag-falsa","tag-frases","tag-semillas","tag-store"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/665","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=665"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/665\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=665"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=665"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=665"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}