Il team di Kaspersky Threat Research ha individuato una nuova e sofisticata campagna di phishing che colpisce l’ecosistema Apple, attiva almeno dall’autunno del 2025 e riconducibile al gruppo criminale noto come SparkKitty. Un’operazione che ha attirato l’attenzione degli esperti per la sua capacità di aggirare controlli e filtri di sicurezza.
Non si tratta di tecniche completamente inedite: la campagna sfrutta infatti il metodo delle finte applicazioni, già utilizzato in passato in altri contesti. Tuttavia, il fatto che riesca a insinuarsi all’interno dell’universo Apple rappresenta un elemento di particolare allarme.
Il sistema di attacco si basa su app apparentemente innocue, come calcolatrici, piccoli giochi o gestori di attività quotidiane, che riescono a superare i controlli iniziali degli store. Una volta installate, queste applicazioni attivano la fase successiva della truffa.
Secondo quanto ricostruito, sono state individuate almeno 26 applicazioni fraudolente che, una volta aperte, reindirizzano l’utente verso pagine web esterne costruite per imitare in modo quasi perfetto l’interfaccia dell’App Store, inducendo al download di software malevolo, come potete vedere nell’immagine in basso.
La campagna prende una svolta decisiva quando la vittima viene convinta a installare un profilo sviluppatore aziendale sull’iPhone. Questo passaggio consente ai criminali di aggirare alcune restrizioni del sistema Apple e aprire la strada all’infezione del dispositivo.
A quel punto viene installato un trojan in grado di replicare l’interfaccia di noti servizi legati alle criptovalute, come MetaMask, Ledger, Coinbase e Trust Wallet, inducendo l’utente a inserire dati estremamente sensibili.
Nel caso degli Hot Wallet, il malware intercetta direttamente la seed phrase, cioè la sequenza di parole che garantisce il controllo totale dei fondi digitali. Per i Cold Wallet hardware, invece, tenta di convincere l’utente a inserire manualmente la chiave segreta sullo smartphone.
Gli esperti ricordano che gli Hot Wallet conservano le chiavi private su dispositivi connessi a Internet, come smartphone o computer, mentre i Cold Wallet sono dispositivi fisici offline progettati proprio per garantire maggiore sicurezza.
Sebbene molte delle app individuate siano state rilevate nello store cinese, gli analisti avvertono che non esistono limiti tecnici che impediscano la diffusione globale dell’attacco. Nonostante le segnalazioni inviate ad Apple, il rischio di nuove varianti rimane elevato, rendendo fondamentale la prudenza degli utenti, soprattutto nell’evitare l’installazione di profili sviluppatore sconosciuti.
