Waspada! 26 Aplikasi Wallet Kripto Palsu Ditemukan di App Store Apple

Liputan6.com, Jakarta - Perusahaan keamanan siber Kaspersky menemukan setidaknya 26 aplikasi dompet kripto palsu di Apple App Store yang dirancang untuk mencuri data sensitif pengguna.

Aplikasi-aplikasi ini menyamar sebagai layanan dompet kripto populer seperti MetaMask, Ledger, Trust Wallet, hingga Coinbase.

Dikutip dari CoinMarketCap, Senin (27/4/2026), kampanye yang dijuluki FakeWallet ini menunjukkan adanya celah serius dalam keamanan marketplace aplikasi, bahkan di platform yang selama ini dianggap aman seperti App Store.

Tim riset Securelist dari Kaspersky menyebutkan bahwa aplikasi phishing tersebut meniru berbagai merek dompet kripto terkenal, termasuk TokenPocket, imToken, dan Bitpie.

Menurut laporan, operasi ini kemungkinan sudah berlangsung sejak setidaknya musim gugur 2025, menandakan bahwa ini bukan kasus tunggal, melainkan kampanye yang berjalan cukup lama.

Disclaimer: Setiap keputusan investasi ada di tangan pembaca. Pelajari dan analisis sebelum membeli dan menjual Kripto. Liputan6.com tidak bertanggung jawab atas keuntungan dan kerugian yang timbul dari keputusan investasi.

Aplikasi palsu ini menggunakan berbagai teknik untuk mengelabui pengguna. Mulai dari typosquatting (nama mirip), meniru ikon asli, hingga menyamar sebagai aplikasi lain seperti kalkulator atau game agar lolos dari sistem penyaringan App Store.

Setelah diunduh, aplikasi tersebut tidak langsung mencuri data, melainkan mengarahkan pengguna ke halaman phishing yang tampak seperti halaman resmi Apple.

Melalui halaman tersebut, pengguna diminta menginstal aplikasi kedua yang telah disusupi malware menggunakan metode provisioning profiles iOS—cara distribusi aplikasi di luar jalur resmi App Store.

Aplikasi berbahaya inilah yang kemudian mencuri recovery phrase atau kunci privat pengguna.

Peneliti ancaman Kaspersky, Sergey Puzan, menjelaskan,“Dengan membayar biaya dan membuat akun developer, para pelaku bisa menargetkan perangkat iOS mana pun jika pengguna terjebak.”

Recovery phrase sendiri merupakan kunci utama dompet kripto. Biasanya terdiri dari 12 atau 24 kata, dan siapa pun yang memilikinya bisa mengakses serta memindahkan seluruh aset dalam dompet tersebut.

Menanggapi temuan ini, Apple dilaporkan telah menghapus 25 dari 26 aplikasi berbahaya sebelum laporan dipublikasikan, lalu menghapus satu aplikasi terakhir serta menutup akun pengembang terkait.

Meski langkah ini mengurangi risiko jangka pendek, kasus ini memunculkan pertanyaan besar: bagaimana puluhan aplikasi palsu bisa lolos proses peninjauan App Store?

Data Apple menunjukkan bahwa pada 2024, perusahaan telah meninjau lebih dari 7,7 juta aplikasi, menolak 1,9 juta di antaranya, serta menghapus lebih dari 37.000 aplikasi karena aktivitas penipuan.

Namun, kasus FakeWallet menunjukkan bahwa pelaku kejahatan siber masih mampu memanfaatkan celah, terutama di wilayah seperti China, di mana banyak aplikasi dompet resmi tidak tersedia sehingga membuka ruang bagi aplikasi palsu.

Hingga kini, belum ada data resmi terkait jumlah korban atau total kerugian akibat kampanye ini.