Falešná aplikace v App Store okradla investory o miliony. Apple reagoval až po průšvihu

Podvodná aplikace vydávající se za kryptopeněženku Ledger Live připravila více než 50 investorů o 9,5 milionu dolarů během pouhých šesti dnů. Apple aplikaci stáhl a zablokoval jejího vývojáře, ale až poté, co na rozsáhlý podvod upozornil blockchainový analytik ZachXBT. O případu informoval server CoinTelegraph.

Technologický gigant Apple potvrdil odstranění škodlivé aplikace, která se vydávala za populární kryptopeněženku Ledger Live určenou pro správu digitálních aktiv. Vývojář vystupující pod názvem „SAS Software Company“ byl definitivně vyřazen z ekosystému App Store. Podle vyjádření Apple útočníci využili takzvanou strategii „bait-and-switch“ – nejprve získali schválení legitimními prostředky a následně aplikaci upravili tak, aby připomínala oficiální produkt společnosti Ledger. Uživatelé byli následně přesvědčeni ke sdílení svých seed frází, tedy klíčových bezpečnostních údajů umožňujících přístup ke kryptoměnovým prostředkům.

Blockchainový analytik známý jako ZachXBT odhalil, že mezi 7. a 13. dubnem podlehlo podvodu více než 50 investorů s celkovou ztrátou přibližně 9,5 milionu dolarů. Největší část škod utrpěli tři jednotlivci. Jeden přišel o 3,23 milionu dolarů v stablecoinu USDT, druhý o 2 miliony dolarů v USDC. Třetí ztratil Bitcoin, Ether a stakovaný Ether v hodnotě 1,95 milionu dolarů. Mezi oběťmi se objevil i americký hudebník Garrett Dutton, vystupující pod uměleckým jménem G. Love, který přišel o Bitcoin v hodnotě 420 tisíc dolarů.

Apple bojuje s podvodníky už 12 let

Taktika bait-and-switch není v App Store žádnou novinkou. Apple v roce 2024 odstranil nebo zamítl více než 17 tisíc aplikací využívajících podobné podvodné praktiky. Společnost rovněž odmítla přes 320 tisíc aplikací označených jako spam, kopie nebo zavádějící obsah. Dále zablokovala více než 37 tisíc potenciálně podvodných aplikací ještě před jejich zpřístupněním uživatelům. Podvodníci typicky získají schválení legitimním způsobem a teprve poté nahrají falešné snímky obrazovky nebo změní popisy tak, aby aplikace napodobovala známý a důvěryhodný produkt.

Historie těchto podvodů sahá minimálně do roku 2013, kdy se v App Store objevil klon hry Pokémon Yellow od Nintenda. Kopie byly prodávány, dokud si uživatelé nestěžovali a Apple aplikaci nestáhl. Podobným problémům čelí i konkurenční platformy. Koncem roku 2023 podvodníci obešli kontrolní proces Microsoft Store, což vedlo ke krádežím kryptoměn v hodnotě téměř 600 tisíc dolarů. Tyto incidenty ukazují, že ani přísná kontrola velkých technologických společností nedokáže zcela zabránit sofistikovaným útokům.

Investoři se musí spoléhat sami na sebe

Případy falešných aplikací zdůrazňují kritickou potřebu vlastní verifikace kryptoměnových nástrojů stahovaných z platforem třetích stran. Podvodníci neustále zdokonalují své strategie a spoléhat se výhradně na kontrolní mechanismy obchodů s aplikacemi se ukazuje jako nedostatečné. Uživatelé by měli vždy ověřovat oficiální odkazy přímo na webových stránkách výrobců hardwarových peněženek a nikdy nesdílet své seed fráze prostřednictvím žádné aplikace. Ztráta přístupu k seed frázi znamená nevratnou ztrátu všech prostředků uložených v dané peněžence.