![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/05\/07091426\/ios-macos-fake-crypto-apps-01.jpg\")
App di phishing nell\u2019App Store visualizzate nei risultati di ricerca per Ledger Wallet (ex Ledger Live)<\/p><\/div>\n
Oltre a queste, abbiamo rilevato una serie di app con nomi e icone che non avevano nulla a che fare con la criptovaluta. Tuttavia, i banner promozionali affermavano che potevano essere utilizzati per scaricare e installare app di portafogli ufficiali che altrimenti non sarebbero disponibili nell\u2019App Store dell\u2019area geografica di riferimento.<\/p>\n
![\"Banner](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/05\/07091524\/ios-macos-fake-crypto-apps-02-RU.jpg\")
Banner nelle pagine delle app che affermano di poter essere utilizzati per scaricare l\u2019app TokenPocket ufficiale, che non \u00e8 presente nell\u2019App Store locale<\/p><\/div>\n
In totale sono state identificate 26 app di phishing che imitano i seguenti portafogli noti:<\/p>\n
- \n
- MetaMask<\/li>\n
- Ledger<\/li>\n
- Trust Wallet<\/li>\n
- Coinbase<\/li>\n
- TokenPocket<\/li>\n
- imToken<\/li>\n
- Bitpie<\/li>\n<\/ul>\n
Poche altre app molto simili non contenevano ancora funzionalit\u00e0 di phishing, ma tutti i segnali indicano che erano collegate agli stessi utenti malintenzionati. \u00c8 probabile che prevedano di aggiungere funzionalit\u00e0 dannose negli aggiornamenti futuri.<\/p>\n
Per ottenere l\u2019approvazione di queste app per l\u2019App Store, gli sviluppatori hanno aggiunto funzionalit\u00e0 di base, come un gioco, una calcolatrice o un\u2019agenda.<\/p>\n
L\u2019installazione di uno di questi cloni \u00e8 il primo passo verso la perdita delle criptovalute. Sebbene le app stesse non rubino criptovaluta, seedphrase o password, fungono da esca per creare fiducia da parte degli utenti in quanto sono elencate nell\u2019App Store ufficiale. Una volta installata e avviata, tuttavia, l\u2019app apre un sito di phishing nel browser della vittima, progettato per assomigliare all\u2019App Store, che richiede quindi all\u2019utente di installare una versione compromessa del portafoglio di criptovaluta pertinente. Gli autori dell\u2019attacco hanno creato pi\u00f9 versioni di questi moduli dannosi, ciascuna personalizzata per un portafoglio specifico. Una descrizione tecnica dettagliata di questo attacco \u00e8 disponibile nel nostro post Securelist<\/a>.<\/p>\n
Alla vittima che si innamora dello stratagemma viene prima richiesto di installare un profilo di provisioning, che consente il sideload delle app su un iPhone all\u2019esterno dell\u2019App Store. Il profilo viene quindi utilizzato per installare la stessa app dannosa.<\/p>\n
![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/05\/07091607\/ios-macos-fake-crypto-apps-03.jpg\")
Un sito App Store falso che richiede all\u2019utente di installare un\u2019app mascherata da Ledger<\/p><\/div>\n
Nell\u2019esempio precedente, il malware \u00e8 basato sull\u2019app Ledger originale con funzionalit\u00e0 Trojan integrata. L\u2019app sembra identica all\u2019originale, ma quando \u00e8 connessa a un portafoglio hardware visualizza una finestra che richiede una seedphrase, presumibilmente per ripristinare l\u2019accesso. Non si tratta di una procedura standard: in genere \u00e8 sufficiente immettere un PIN, mai una frase di ripristino. Se una vittima viene ingannata dall\u2019apparente legittimit\u00e0 dell\u2019app e inserisce la propria seedphrase, questa viene immediatamente inviata al server degli autori dell\u2019attacco, garantendo loro l\u2019accesso completo alle criptovalute della vittima.<\/p>\n
Trasferimento laterale all\u2019esterno dell\u2019App Store<\/h2>\n
Un componente critico di questo schema prevede l\u2019installazione di malware nell\u2019iPhone della vittima ignorando l\u2019App Store e il relativo processo di verifica. Viene eseguito in modo molto simile all\u2019infostealer SparkKitty iOS<\/a> scoperto in precedenza. Gli autori dell\u2019attacco sono riusciti a ottenere l\u2019accesso all\u2019Apple Developer Enterprise Program<\/a>. Per soli 299 dollari statunitensi all\u2019anno, e a seguito di un colloquio e di una verifica aziendale, questo programma consente alle entit\u00e0 di rilasciare i propri profili di configurazione e le proprie app per il download diretto nei dispositivi degli utenti senza mai pubblicarli nell\u2019App Store.<\/p>\n
![\"Per](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/05\/07091658\/ios-macos-fake-crypto-apps-04.jpg\")
Per installare l\u2019app, la vittima deve prima installare un profilo di configurazione che consenta il download diretto del malware, ignorando l\u2019App Store. Prendere nota del segno di spunta di verifica verde<\/p><\/div>\n
In generale, i profili aziendali sono progettati per consentire alle organizzazioni di distribuire le app interne nei dispositivi dei dipendenti. Queste app non richiedono la pubblicazione dell\u2019App Store e possono essere installate in un numero illimitato di dispositivi. Purtroppo si abusa spesso di questa funzionalit\u00e0. Questi profili vengono spesso utilizzati per software che non soddisfano i criteri Apple, ad esempio casin\u00f2 online, mod piratati e, naturalmente, malware.<\/p>\n
Questo \u00e8 esattamente il motivo per cui il sito falso che imita l\u2019Apple Store richiede all\u2019utente di installare un profilo di configurazione prima di distribuire l\u2019app firmata da tale profilo.<\/p>\n
Furto di criptovaluta tramite app ed estensioni macOS<\/h2>\n
Molti proprietari di criptovalute preferiscono gestire i propri portafogli da un computer anzich\u00e9 da uno smartphone, spesso scegliendo i Mac per l\u2019attivit\u00e0. Non sorprende, quindi, che gli infostealer macOS pi\u00f9 diffusi prendano di mira i dati dei portafogli di criptovaluta in un modo o nell\u2019altro. Di recente, tuttavia, si \u00e8 diffusa una nuova tattica dannosa: oltre a rubare i dati salvati, gli autori degli attacchi inseriscono finestre di dialogo di phishing direttamente in applicazioni di portafogli legittime gi\u00e0 installate nei computer degli utenti. All\u2019inizio di quest\u2019anno, l\u2019infostealer di MacSync<\/a> ha adottato questa funzionalit\u00e0. Si infiltra nei sistemi tramite gli attacchi ClickFix<\/a>: gli utenti alla ricerca di software vengono adescati su siti falsi con istruzioni fraudolente per l\u2019installazione dell\u2019app eseguendo comandi in Terminal. Viene quindi eseguito l\u2019infostealer, che estrae le password e i cookie salvati in Chrome, le chat dai pi\u00f9 diffusi programmi di messaggistica e i dati dalle estensioni dei portafogli di criptovaluta basate su browser.<\/p>\n
Ma la parte pi\u00f9 interessante \u00e8 cosa succede dopo. Se la vittima ha gi\u00e0 installato un\u2019app Trezor o Ledger legittima, l\u2019infostealer scarica i moduli aggiuntivi e\u2026 scambia i frammenti dell\u2019app con il proprio codice trojan. Il malware quindi firma nuovamente il file modificato in modo che, dopo aver apportato queste \u201ccorrezioni\u201d, Gatekeeper (un meccanismo di protezione integrato in macOS) consente l\u2019esecuzione dell\u2019applicazione senza una richiesta di autorizzazione aggiuntiva da parte dell\u2019utente. Sebbene questo trucco non sempre funzioni, \u00e8 efficace per le app pi\u00f9 semplici basate sul popolare framework Electron<\/a>.<\/p>\n
![\"L'app](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/05\/07091804\/ios-macos-fake-crypto-apps-05.jpg\")
L\u2019app trojan richiede all\u2019utente la seedphrase del portafoglio<\/p><\/div>\n
Quando l\u2019app trojan viene aperta, simula un errore e avvia un \u201cprocesso di ripristino\u201d, richiedendo all\u2019utente la seedphrase del portafoglio.<\/p>\n
Oltre a MacSync, gli sviluppatori di altri popolari infostealer macOS hanno adottato lo stesso approccio di trojanizzazione. In precedenza abbiamo descritto in dettaglio un meccanismo simile utilizzato per compromettere i portafogli Exodus e Bitcoin-Qt<\/a>.<\/p>\n
Come tenere al sicuro le risorse di criptovaluta<\/h2>\n
Pi\u00f9 e pi\u00f9 volte, gli autori degli attacchi hanno dimostrato che nessun dispositivo \u00e8 veramente invincibile. Con cos\u00ec tanti sviluppatori e utenti di criptovalute che preferiscono macOS e iOS, gli autori delle minacce hanno progettato e distribuito attacchi su scala industriale per entrambe le piattaforme. Restare al sicuro richiede una difesa approfondita supportata da scetticismo e vigilanza.<\/p>\n
- \n
- Scarica le app solo da fonti attendibili: il sito Web ufficiale dello sviluppatore o la relativa pagina dell\u2019App Store. Poich\u00e9 il malware pu\u00f2 entrare negli store ufficiali, verifica sempre l\u2019editore dell\u2019app.<\/li>\n
- Controlla la valutazione dell\u2019app, la data di pubblicazione e il contatore dei download.<\/li>\n
- Leggi le recensioni, specialmente quelle negative. Ordina le recensioni in base alla data per valutare la versione pi\u00f9 recente. Gli utenti malintenzionati spesso iniziano con un\u2019app perfettamente innocente che ottiene valutazioni elevate prima di introdurre funzionalit\u00e0 dannose in un aggiornamento successivo.<\/li>\n
- Non copiare e incollare mai i comandi nel Terminal a meno che tu non sia sicuro al 100% di quello che fanno. Questi attacchi sono diventati molto popolari ultimamente, spesso mascherati da passaggi di installazione per app di intelligenza artificiale<\/a> come Claude Code o OpenClaw.<\/li>\n
- Utilizza un sistema di protezione completo su tutti i computer e smartphone. Noi consigliamo Kaspersky Premium<\/a><\/strong>. Questo aiuta notevolmente a ridurre il rischio di visitare siti di phishing o installare app dannose.<\/li>\n
- Non immettere mai la seedphrase in un\u2019app hardware dei portafogli, in un sito Web o in una chat. In ogni scenario, che si tratti di migrazione a un nuovo portafoglio, reinstallazione delle app o ripristino di un portafoglio, la frase iniziale deve essere immessa esclusivamente nel dispositivo hardware stesso<\/strong>, mai in un\u2019app desktop o mobile.<\/li>\n
- Verifica sempre l\u2019indirizzo del destinatario sullo schermo dell\u2019hardware del portafoglio per prevenire attacchi che implicano lo scambio di indirizzi.<\/li>\n
- Memorizza le seedphrase nel modo pi\u00f9 sicuro possibile, ad esempio su una placca di metallo<\/a> o in una busta sigillata in una cassetta di sicurezza. \u00c8 meglio non archiviarle affatto in un computer, ma se si tratta dell\u2019unica opzione, utilizza un archivio criptato sicuro come Kaspersky Password Manager<\/a><\/strong>.<\/li>\n<\/ul>\n
Credi ancora che i dispositivi Apple siano a prova di proiettile? Ripensaci mentre leggi quanto segue:<\/p>\n
\u2022 iPhone e la fine dell\u2019invincibilit\u00e0: uno sguardo a DarkSword e Coruna <\/a><\/p>\n
\u2022 Predator vs iPhone: l\u2019arte della sorveglianza invisibile <\/a><\/p>\n
\u2022 Le tue cuffie Bluetooth ti spiano? <\/a><\/p>\n
\u2022 AirBorne: attacchi ai dispositivi Apple tramite vulnerabilit\u00e0 in AirPlay <\/a><\/p>\n
- Utilizza un sistema di protezione completo su tutti i computer e smartphone. Noi consigliamo Kaspersky Premium<\/a><\/strong>. Questo aiuta notevolmente a ridurre il rischio di visitare siti di phishing o installare app dannose.<\/li>\n