🔍 Contexte
Publié le 20 avril 2026 par Sergey Puzan sur Securelist (Kaspersky), cet article présente les résultats d’une investigation menée en mars 2026 sur une campagne de vol de cryptomonnaies baptisée FakeWallet, active depuis au moins l’automne 2025.
🎯 Nature de la menace
Les attaquants ont publié 26 applications de phishing dans l’App Store Apple, se faisant passer pour des portefeuilles crypto majeurs (MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie). Ces applications exploitent les restrictions régionales chinoises sur les apps crypto pour attirer les victimes, en utilisant des icônes imitant les originaux et des noms avec des fautes de frappe intentionnelles (typosquatting).
⚙️ Mécanisme technique
Une fois lancées, les apps redirigent les utilisateurs vers des pages web imitant l’App Store, qui distribuent des versions trojanisées de portefeuilles légitimes via des profils de provisionnement enterprise iOS. Les modules malveillants fonctionnent selon deux approches :
- Injection de bibliothèque malveillante (ex:
libokexHook.dylibdans Coinbase) : détournement de méthodes Objective-C (viewDidLoad) pour scraper les mnémoniques depuis l’interface - Modification du code source (ex: Ledger Live en React Native) : ajout d’écrans de phishing (
MnemonicVerifyScreen,PrivateKeyVerifyScreen) dans les navigateurs de l’app
Le processus d’exfiltration est identique dans tous les modules :
- Extraction des mnémoniques (mots de la seed phrase)
- Chiffrement RSA avec schéma PKCS #1
- Encodage Base64
- Envoi vers un serveur C2 via requête HTTP POST
Le module Trust Wallet se distingue par l’injection d’une section exécutable personnalisée __hook directement dans l’exécutable principal, utilisant des trampolines vers dlsym.
🌐 Distribution et portée
- Campagne ciblant principalement les utilisateurs en Chine (App Store chinois, pages de phishing en chinois)
- Des versions Android compromises ont également été identifiées, distribuées via les mêmes pages malveillantes (absentes du Google Play Store)
- Un site web imitant le site officiel Ledger hébergeait des liens vers les apps infectées pour iOS et Android
🔗 Attribution
Kaspersky établit un lien probable entre FakeWallet et les créateurs du Trojan SparkKitty sur la base de :
- Présence de modules SparkKitty dans certaines apps infectées
- Utilisation de messages de log en chinois dans les deux campagnes
- Distribution via des pages de phishing imitant l’App Store
- Ciblage exclusif des actifs en cryptomonnaies
📋 Détections
Kaspersky détecte cette menace sous les signatures HEUR:Trojan-PSW.IphoneOS.FakeWallet.* et HEUR:Trojan.IphoneOS.FakeWallet.*. Plusieurs apps malveillantes ont été retirées de l’App Store après signalement à Apple.
📄 Type d’article
Il s’agit d’une publication de recherche technique de Kaspersky visant à documenter une campagne active de vol de cryptomonnaies sur iOS, avec indicateurs de compromission et analyse des modules malveillants.
🧠 TTPs et IOCs détectés
Acteurs de menace
- SparkKitty (unknown) —
TTP
- T1566 — Phishing (Initial Access)
- T1476 — Deliver Malicious App via Authorized App Store (Initial Access)
- T1417 — Input Capture (Collection)
- T1632.001 — Subvert Trust Controls: Code Signing (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
- T1444 — Masquerade as Legitimate Application (Defense Evasion)
IOC
- IPv4 :
139.180.139.209— AbuseIPDB · VT · ThreatFox - Domaines :
gxzhrc.cn— VT · URLhaus · ThreatFox - Domaines :
appstoreios.com— VT · URLhaus · ThreatFox - Domaines :
crypto-stroe.cc— VT · URLhaus · ThreatFox - Domaines :
yjzhengruol.com— VT · URLhaus · ThreatFox - Domaines :
6688cf.jhxrpbgq.com— VT · URLhaus · ThreatFox - Domaines :
xz.apps-store.im— VT · URLhaus · ThreatFox - Domaines :
oukwww.com— VT · URLhaus · ThreatFox - Domaines :
lahuafa.com— VT · URLhaus · ThreatFox - Domaines :
ulbcl.com— VT · URLhaus · ThreatFox - Domaines :
api.npoint.io— VT · URLhaus · ThreatFox - Domaines :
siyangoil.com— VT · URLhaus · ThreatFox - Domaines :
ahroar.com— VT · URLhaus · ThreatFox - Domaines :
kkkhhhnnn.com— VT · URLhaus · ThreatFox - Domaines :
helllo2025.com— VT · URLhaus · ThreatFox - Domaines :
sxsfcc.com— VT · URLhaus · ThreatFox - Domaines :
iosfc.com— VT · URLhaus · ThreatFox - Domaines :
nmu8n.com— VT · URLhaus · ThreatFox - Domaines :
zmx6f.com— VT · URLhaus · ThreatFox - Domaines :
api.dc1637.xyz— VT · URLhaus · ThreatFox - URLs :
https://www.gxzhrc.cn/download/— URLhaus - URLs :
https://appstoreios.com/DjZH?key=646556306F6Q465O313L737N3332939Y353I830F31— URLhaus - URLs :
https://crypto-stroe.cc/— URLhaus - URLs :
https://yjzhengruol.com/s/3f605f— URLhaus - URLs :
https://6688cf.jhxrpbgq.com/6axqkwuq— URLhaus - URLs :
https://139.180.139.209/prod-api/system/confData/getUserConfByKey/— URLhaus - URLs :
https://xz.apps-store.im/s/iuXt?key=646Y563Y6F6H465J313X737U333S9342323N030R34&c=— URLhaus - URLs :
https://xz.apps-store.im/DjZH?key=646B563L6F6N4657313B737U3436335E3833331737— URLhaus - URLs :
https://xz.apps-store.im/s/dDan?key=646756376F6A465D313L737J333993473233038L39&c=— URLhaus - URLs :
https://xz.apps-store.im/CqDq?key=646R563V6F6Y465K313J737G343C3352383R336O35— URLhaus - URLs :
https://ntm0mdkzymy3n.oukwww.com/7nhn7jvv5YieDe7P?0e7b9c78e=686989d97cf0d70346cbde2031207cbf— URLhaus - URLs :
https://ntm0mdkzymy3n.oukwww.com/jFms03nKTf7RIZN8?61f68b07f8=0565364633b5acdd24a498a6a9ab4eca— URLhaus - URLs :
https://nziwytu5n.lahuafa.com/10RsW/mw2ZmvXKUEbzI0n— URLhaus - URLs :
https://zdrhnmjjndu.ulbcl.com/7uchSEp6DIEAqux?a3f65e=417ae7f384c49de8c672aec86d5a2860— URLhaus - URLs :
https://zdrhnmjjndu.ulbcl.com/tWe0ASmXJbDz3KGh?4a1bbe6d=31d25ddf2697b9e13ee883fff328b22f— URLhaus - URLs :
https://api.npoint.io/153b165a59f8f7d7b097— URLhaus - URLs :
https://mti4ywy4.lahuafa.com/UVB2U/mw2ZmvXKUEbzI0n— URLhaus - URLs :
https://mtjln.siyangoil.com/08dT284P/1ZMz5Xmb0EoQZVvS5— URLhaus - URLs :
https://odm0.siyangoil.com/TYTmtV8t/JG6T5nvM1AYqAcN— URLhaus - URLs :
https://mgi1y.siyangoil.com/vmzLvi4Dh/1Dd0m4BmAuhVVCbzF— URLhaus - URLs :
https://mziyytm5ytk.ahroar.com/kAN2pIEaariFb8Yc— URLhaus - URLs :
https://ngy2yjq0otlj.ahroar.com/EpCXMKDMx1roYGJ— URLhaus - URLs :
https://ngy2yjq0otlj.ahroar.com/17pIWJfr9DBiXYrSb— URLhaus - URLs :
https://kkkhhhnnn.com/api/open/postByTokenpocket— URLhaus - URLs :
https://helllo2025.com/api/open/postByTokenpocket— URLhaus - URLs :
https://sxsfcc.com/api/open/postByTokenpocket— URLhaus - URLs :
https://iosfc.com/ledger/ios/Rsakeycatch.php— URLhaus - URLs :
https://nmu8n.com/tpocket/ios/Rsakeyword.php— URLhaus - URLs :
https://zmx6f.com/btp/ios/receiRsakeyword.php— URLhaus - URLs :
https://api.dc1637.xyz— URLhaus - MD5 :
4126348d783393dd85ede3468e48405d— VT · MalwareBazaar - MD5 :
b639f7f81a8faca9c62fd227fef5e28c— VT · MalwareBazaar - MD5 :
d48b580718b0e1617afc1dec028e9059— VT · MalwareBazaar - MD5 :
bafba3d044a4f674fc9edc67ef6b8a6b— VT · MalwareBazaar - MD5 :
79fe383f0963ae741193989c12aefacc— VT · MalwareBazaar - MD5 :
8d45a67b648d2cb46292ff5041a5dd44— VT · MalwareBazaar - MD5 :
7e678ca2f01dc853e85d13924e6c8a45— VT · MalwareBazaar - MD5 :
be9e0d516f59ae57f5553bcc3cf296d1— VT · MalwareBazaar - MD5 :
fd0dc5d4bba740c7b4cc78c4b19a5840— VT · MalwareBazaar - MD5 :
7b4c61ff418f6fe80cf8adb474278311— VT · MalwareBazaar - MD5 :
8cbd34393d1d54a90be3c2b53d8fc17a— VT · MalwareBazaar - MD5 :
d138a63436b4dd8c5a55d184e025ef99— VT · MalwareBazaar - MD5 :
5bdae6cb778d002c806bb7ed130985f3— VT · MalwareBazaar - MD5 :
84c81a5e49291fe60eb9f5c1e2ac184b— VT · MalwareBazaar - MD5 :
19733e0dfa804e3676f97eff90f2e467— VT · MalwareBazaar - MD5 :
8f51f82393c6467f9392fb9eb46f9301— VT · MalwareBazaar - MD5 :
114721fbc23ff9d188535bd736a0d30e— VT · MalwareBazaar - Fichiers :
libokexHook.dylib - Fichiers :
verify.html - Fichiers :
verify-wallet-status.json - Fichiers :
verify-wallet-config.json - Fichiers :
verify-wallet-pending.json
Malware / Outils
- FakeWallet (stealer)
- SparkKitty (other)
🟢 Indice de vérification factuelle : 88/100 (haute)
- ✅ securelist.com — source reconnue (liste interne) (20pts)
- ✅ 20527 chars — texte complet (fulltext extrait) (15pts)
- ✅ 72 IOCs dont des hashes (15pts)
- ✅ 1/7 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : SparkKitty (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
crypto-stroe.cc(domain) → VT (15/94 détections)
🔗 Source originale : https://securelist.com/fakewallet-cryptostealer-ios-app-store/119474/