En bref

  • Kaspersky a identifié 26 applications malveillantes sur l'App Store d'Apple imitant Metamask, Coinbase, Trust Wallet et OneKey.
  • La campagne, baptisée FakeWallet, est rattachée à l'opération SparkKitty active depuis l'automne 2025 et vise prioritairement les utilisateurs chinois.
  • Les applications se font passer pour des jeux ou des calculatrices avant de rediriger vers des pages de phishing capturant les seed phrases.

Ce qui s'est passé

Les chercheurs de Kaspersky ont publié une analyse détaillée d'un dispositif massif de vol de cryptomonnaies hébergé directement sur l'App Store d'Apple. Au total 26 applications publiées sous des noms trompeurs imitent les portefeuilles les plus populaires — Metamask, Coinbase, Trust Wallet, OneKey, Ledger — grâce à du typosquatting et des identités graphiques soigneusement clonées.

Pour contourner les restrictions visant les applications crypto en Chine, les opérateurs ont soumis leurs bundles à la validation d'Apple en les déguisant en jeux, calculatrices ou utilitaires anodins. Une fois lancées, ces apps redirigent silencieusement l'utilisateur vers des pages de phishing imitant les portails officiels, où il est invité à valider sa « sécurité » en saisissant sa phrase de récupération.

Pour les wallets froids comme Ledger, FakeWallet mise sur des écrans de « vérification de sécurité » factices poussant l'utilisateur à taper manuellement ses 12 ou 24 mots. Une fois la seed entre les mains des attaquants, le wallet peut être restauré sur n'importe quel appareil et vidé sans mot de passe additionnel : il n'existe aucune possibilité de récupération des fonds. Kaspersky rattache cette campagne à SparkKitty, un mouvement actif depuis la fin 2025.

Pourquoi c'est important

L'infiltration de 26 applications dans le « jardin clos » d'Apple est un coup dur pour la communication de sécurité de Cupertino, qui met régulièrement en avant la rigueur de son processus de revue. C'est aussi une illustration pratique de la limite des App Stores officiels face à des acteurs capables de tromper les reviewers avec des fonctionnalités masquées et du cloaking géographique.

Pour les entreprises qui autorisent les applications financières personnelles sur les terminaux BYOD, l'épisode confirme qu'il faut s'appuyer sur du MDM avec allowlist stricte et une veille sur les marques imitées plutôt que sur la simple confiance dans la validation Apple. Cette campagne rejoint une série récente d'attaques supply chain côté npm et confirme que les acteurs ciblent désormais indifféremment les dépendances, les extensions navigateur et les stores mobiles.

Ce qu'il faut retenir

  • L'App Store n'est pas une barrière absolue : 26 apps FakeWallet ont passé la revue Apple en se déguisant en jeux ou calculatrices.
  • La compromission d'une seed phrase est irréversible : aucune récupération possible après vidage du wallet.
  • Pour les utilisateurs : ne saisir sa seed que sur le device d'origine, jamais via un écran applicatif tiers, même estampillé « vérification de sécurité ».

Comment reconnaître une application de portefeuille crypto frauduleuse ?

Les signaux d'alerte incluent un développeur inconnu ou récent, un nombre d'avis disproportionné par rapport à l'éditeur officiel, des captures d'écran bricolées et surtout toute demande de saisie de seed phrase à l'ouverture. Les vrais wallets ne demandent jamais à l'utilisateur de retaper ses 12 ou 24 mots pour « vérifier la sécurité » du compte.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact