Egy nagyszabású kiberbűnözői kampány keretében 26 rosszindulatú alkalmazás jelent meg az Apple App Store-ban, amelyek népszerű kriptotárcákat – például MetaMask, Coinbase vagy Trust Wallet – utánoztak. A támadók kifinomult módszereket alkalmaztak, mint a typosquatting és a hamis arculati elemek, hogy hitelesnek tűnjenek, különösen a kínai felhasználókat célozva. A korlátozások megkerülése érdekében az alkalmazásokat játékokként vagy segédprogramokként álcázták, ezzel növelve a letöltési hajlandóságot.

A Kaspersky kutatói által „FakeWallet” néven azonosított kampány a korábbi SparkKitty művelethez köthető, és több lépcsős támadási láncot alkalmaz. Az alkalmazások megnyitás után adathalász oldalakra irányítják a felhasználókat, ahol trójai kártevővel fertőzött tárcaalkalmazások telepítésére veszik rá őket, iOS provisioning profile-ok segítségével. Ezek az appok képesek elfogni a seed phrase-eket a tárca inicializálása vagy helyreállítása során, majd titkosítva továbbítani azokat a támadóknak. Hardveres tárcák esetén a támadók social engineering technikákkal érik el, hogy a felhasználók maguk adják meg a kulcsfontosságú adatokat.

A megszerzett seed phrase-ek birtokában a támadók teljes hozzáférést szerezhetnek az áldozatok kriptotárcáihoz, amelyeket saját eszközeiken helyreállítva azonnal ki is üríthetnek, visszafordíthatatlan károkat okozva. Bár a kampány elsődlegesen Kínai felhasználókra fókuszált, technikailag globális fenyegetést jelent. Továbbra is fontos (még hivatalos appáruházak esetén is) a kiadók ellenőrzése, valamint a kizárólag megbízható forrásból származó letöltési linkek használata. Az Apple a bejelentést követően eltávolította az érintett alkalmazásokat, ugyanakkor a támadási módszer, az ellátási lánc és az alkalmazás-ellenőrzési folyamatok gyengeségei is világossá váltak.