Fake wallet-apps in Apple App Store vormen directe seed phrase-dreiging voor iPhone-gebruikers

Minstens 26 kwaadaardige iOS-apps hebben in Apple’s App Store gestaan terwijl ze zich voordeden als bekende cryptowallets. Volgens Kaspersky waren deze apps erop gebouwd om recovery phrases en private keys buit te maken — precies de gegevens waarmee een wallet in feite kan worden leeggetrokken.

Dat maakt dit direct relevant voor iPhone-gebruikers die de App Store als relatief veilig terrein zien. Apple benadrukt zelf dat elke app en update wordt beoordeeld en dat gevaarlijke apps na ontdekking snel kunnen worden verwijderd, maar schrijft ook expliciet dat die bescherming niet is ontworpen om gebruikers te behoeden voor keuzes waar zij door misleiding zelf toe worden gebracht. En precies daar lijkt deze campagne op in te spelen.

Kaspersky noemt de campagne FakeWallet. De onderzoekers zeggen dat zij in maart 2026 26 phishing-apps identificeerden die bekende walletmerken nabootsten, waaronder MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken en Bitpie. Volgens het rapport zijn de bevindingen aan Apple doorgegeven en waren meerdere van die apps op het moment van publicatie al verwijderd.

De aanval was niet altijd meteen herkenbaar als crypto-oplichting. Sommige apps gebruikten volgens Kaspersky een ogenschijnlijk onschuldige “stub” — bijvoorbeeld een game, calculator of planner — om legitiem over te komen. Pas na het openen werd de gebruiker via een kwaadaardige link in de browser verder geleid in een flow die uiteindelijk bedoeld was om besmette walletversies te installeren of seed phrases te onderscheppen.

Bij verschillende walletvarianten grepen de aanvallers bovendien direct in op herstel- en importschermen. Kaspersky beschrijft hoe kwaadaardige modules seed phrase-woorden van het scherm verzamelden, versleutelden en naar een command-and-controlserver stuurden. In Ledger-achtige varianten werd de gebruiker juist via een overtuigend nagebouwde verificatiepagina gevraagd om zijn herstelzin opnieuw in te voeren.

De campagne lijkt in eerste instantie vooral op China gericht. Kaspersky schrijft dat vrijwel alle gevonden phishing-apps opdoken in de Chinese App Store en dat de phishingpagina’s Chineestalig waren. Tegelijk voegen de onderzoekers daar een belangrijke nuance aan toe: de kwaadaardige modules zelf hebben geen ingebouwde regiobeperking, en sommige phishingmeldingen passen zich automatisch aan de taal van de app aan.

Daarmee is dit ook voor Nederlandse en Belgische gebruikers geen ver-van-hun-bedshow. De gebruikte techniek leunt niet alleen op malware, maar vooral op merkvertrouwen, lookalike-branding en het idee dat een download uit de App Store per definitie veiliger is. Juist voor crypto is dat gevaarlijk, omdat één verkeerd moment — het invullen van een seed phrase of private key in een onbekende omgeving — genoeg kan zijn om definitief toegang tot tegoeden te verliezen.

Wat publiek bevestigd is, is stevig genoeg. Kaspersky identificeerde 26 phishing-apps in de App Store, meldde die aan Apple en schreef dat meerdere apps al uit de winkel waren gehaald. Ook staat vast dat de campagne was ontworpen om herstelzinnen, mnemonics en private keys te stelen via nagebouwde walletflows en gemanipuleerde appversies.

Wat nog níét publiek vastligt, is de uiteindelijke schade. In het onderzoek noemt Kaspersky geen totaalbedrag aan buitgemaakte crypto en ook geen volledige openbare lijst van getroffen gebruikers. De mogelijke link met SparkKitty wordt bovendien nadrukkelijk als vermoedelijke koppeling beschreven, niet als definitief bewezen attributie.

De bredere les is ongemakkelijk, maar helder. Een gesloten ecosysteem als de App Store verlaagt risico’s, maar neemt ze niet weg. Voor cryptogebruikers blijft dezelfde regel gelden als altijd: een legitieme wallet vraagt niet lichtvaardig om een seed phrase, en wie die woorden in een onbekende app of webflow invult, geeft feitelijk de sleutels van de wallet uit handen.