26 Aplikasi FakeWallet di Apple App Store Curian Frasa Pemulihan Crypto Terungkap

Peneliti keamanan siber baru-baru ini mengungkap 26 aplikasi palsu bernama FakeWallet yang tersebar di Apple App Store dan menargetkan pengguna cryptocurrency dengan tujuan mencuri frasa pemulihan (seed phrase) dan kunci privat sejak musim gugur 2025.

Modus Operandi Aplikasi FakeWallet di Apple App Store

Menurut peneliti dari Kaspersky, Sergey Puzan, aplikasi-aplikasi berbahaya ini dirancang untuk menipu pengguna dengan menyerupai dompet digital populer seperti Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket, dan Trust Wallet. Begitu aplikasi dijalankan, mereka mengarahkan pengguna ke laman browser yang tampak seperti App Store resmi, lalu membagikan versi trojan dari dompet asli.

"Setelah diluncurkan, aplikasi ini mengalihkan pengguna ke halaman web yang menyerupai App Store dan menyebarkan versi trojan dari dompet asli," ujar Sergey Puzan dari Kaspersky. "Aplikasi ini dirancang khusus untuk membajak frasa pemulihan dan kunci privat."

Uniknya, aplikasi ini juga menggunakan ikon yang mirip dengan versi asli, namun dengan nama yang sengaja salah ketik seperti LeddgerNew untuk mengelabui pengguna yang tidak curiga. Beberapa aplikasi bahkan tidak secara langsung terkait dengan cryptocurrency, melainkan berfungsi sebagai pengantar agar pengguna mengunduh aplikasi dompet resmi yang diklaim tidak tersedia di App Store karena alasan regulasi.

Distribusi dan Teknik Penipuan yang Semakin Canggih

Berbeda dari kasus malware dompet digital sebelumnya yang biasanya disebarkan lewat situs web palsu menggunakan profil provisioning iOS, aplikasi FakeWallet ini langsung tersedia untuk diunduh di App Store bagi pengguna dengan akun Apple yang disetel ke wilayah China. Ini merupakan peningkatan signifikan dalam teknik distribusi malware crypto.

Kaspersky juga menemukan beberapa aplikasi lain yang kemungkinan terkait dengan pelaku yang sama, namun tidak memiliki fitur berbahaya aktif. Aplikasi tersebut meniru layanan yang tidak berbahaya seperti permainan, kalkulator, atau perencana tugas, namun ketika dibuka, aplikasi ini akan membuka tautan di browser dan menggunakan profil provisioning perusahaan untuk menginstal aplikasi dompet ke perangkat korban.

Pelaku malware menggunakan berbagai modul berbahaya yang disesuaikan untuk tiap dompet yang diserang, sebagian besar disampaikan lewat injeksi pustaka berbahaya atau modifikasi kode sumber asli aplikasi.

Tujuan Pencurian dan Dampaknya Bagi Pengguna

Target utama dari infeksi ini adalah untuk mengumpulkan frasa mnemonik dari dompet panas (hot wallet) maupun dompet dingin (cold wallet). Data tersebut kemudian dikirim ke server eksternal agar pelaku dapat mengendalikan dompet korban, menguras aset kripto mereka, atau melakukan transaksi penipuan.

Frasa pemulihan ini dicuri dengan cara mengaitkan kode yang mengelola layar input frasa atau dengan menampilkan halaman phishing yang meminta korban memasukkan mnemonik sebagai bagian dari langkah verifikasi palsu.

Kaspersky menduga kampanye ini berhubungan dengan aktor ancaman yang sama dengan kampanye trojan SparkKitty tahun lalu. Hal ini didukung oleh adanya modul pencurian frasa pemulihan menggunakan teknologi pengenalan karakter optik (OCR) dalam beberapa aplikasi yang terinfeksi, serta indikasi bahwa pelaku merupakan penutur asli bahasa Mandarin yang secara khusus menargetkan aset cryptocurrency.

"Kampanye FakeWallet semakin berkembang dengan taktik baru, mulai dari menyebarkan payload melalui aplikasi phishing yang diterbitkan di App Store hingga menyusup ke aplikasi dompet dingin dan menggunakan notifikasi phishing canggih untuk menipu pengguna agar mengungkap mnemonik mereka," kata Kaspersky.

Ancaman Malware Android MiningDropper yang Berkembang

Selain itu, Cyble melaporkan kemunculan framework malware Android canggih bernama MiningDropper (alias BeatBanker) yang menggabungkan penambangan cryptocurrency, pencurian informasi, akses jarak jauh, dan malware perbankan. Serangan ini menargetkan pengguna di India, Amerika Latin, Eropa, dan Asia sebagai bagian dari kampanye BTMOB RAT.

MiningDropper disebarkan melalui versi trojan dari aplikasi Android open-source Lumolight, dengan kampanye yang menggunakan situs palsu yang meniru institusi perbankan dan kantor transportasi regional untuk menyebarkan malware. Setelah diaktifkan, malware ini menjalankan serangkaian proses multi-tahap untuk mengekstrak payload penambang dan trojan dari arsip aset terenkripsi dalam paket aplikasi.

Menurut Cyble, MiningDropper menggunakan arsitektur pengiriman payload multi-tahap dengan teknik obfuscation XOR, enkripsi AES, pemuatan dinamis DEX, dan teknik anti-emulasi. Desain modular ini mempersulit analisis statis sekaligus memberi fleksibilitas pada pelaku ancaman untuk menyesuaikan tujuan monetisasi akhir sesuai kebutuhan operasional.

Analisis Redaksi

Menurut pandangan redaksi, kasus 26 aplikasi FakeWallet yang berhasil masuk Apple App Store China menunjukkan adanya celah serius dalam proses verifikasi aplikasi yang memungkinkan malware cryptocurrency menyusup ke platform resmi. Ini memperingatkan pengguna untuk lebih berhati-hati, terutama saat mengunduh aplikasi dompet digital dan selalu memastikan aplikasi tersebut resmi dan berasal dari pengembang terpercaya.

Selain itu, kehadiran modul OCR untuk mencuri frasa pemulihan menandai kemajuan teknologi yang digunakan pelaku, yang menggabungkan teknik phishing klasik dengan kemampuan canggih untuk mengelabui korban. Pengguna dompet kripto harus selalu memakai metode keamanan tambahan, seperti autentikasi dua faktor dan menyimpan seed phrase secara offline dan aman.

Ke depan, penting bagi Apple dan penyedia layanan aplikasi lain untuk menerapkan sistem deteksi malware yang lebih ketat dan transparan agar mencegah penyebaran aplikasi berbahaya yang dapat mengancam keamanan aset digital jutaan pengguna. Sementara itu, publik harus terus memperbarui informasi terkait ancaman keamanan terbaru agar tidak menjadi korban kejahatan siber.

Untuk informasi lebih lengkap, kunjungi sumber aslinya di The Hacker News dan pantau perkembangan keamanan siber di media terpercaya lainnya.