Malafide macOS-app uit App Store steelt 9,5 miljoen aan cryptocurrency
Apple beleeft duidelijk geen sterke periode als het aankomt op zijn App Store-controles. De techreus moest opnieuw twee malafide apps verwijderen, waaronder één die gebruikers financieel zwaar getroffen heeft. Volgens CoinDesk gaat het om een valse versie van Ledger Live, een populaire cryptowallet voor macOS, die twee weken lang in de appwinkel beschikbaar was.
De app verscheen pas recent in de App Store en trok al snel de aandacht van heel wat gebruikers. Tussen 7 en 13 april vielen er volgens het medium ruim 50 slachtoffers. Samen verloren zij zo’n 9,5 miljoen dollar. Het geld werd vervolgens weggesluisd via de KuCoin-cryptobeurs. Ook zou gebruik zijn gemaakt van de AudiA6-mixingservice, een dienst die bekendstaat om het anonimiseren en witwassen van cryptotransacties.
Miljoenen buit via nep-Ledger-app
Opvallend is dat drie slachtoffers het zwaarst getroffen zijn: zij verloren elk bedragen met zeven cijfers. Dat gebeurde nadat ze de malafide app installeerden en inlogden met hun Ledger-accounts. De aanvallers kregen zo rechtstreeks toegang tot hun logingegevens en konden de accounts volledig leegtrekken.
Hoe de app precies door Apples controleproces is geraakt, blijft voorlopig onduidelijk. De App Store voor iOS en macOS staat bekend om zijn strikte, deels handmatige controles. Toch wist deze frauduleuze cryptoapp probleemloos in de winkel te belanden. Apple heeft de app inmiddels verwijderd, maar gaf nog geen verdere toelichting.
Crypto-expert ZachXBT stelt dat deze zaak mogelijk kan uitmonden in een class action-rechtszaak. Daarbij zouden slachtoffers Apple gezamenlijk aansprakelijk kunnen stellen voor de geleden schade. Zo’n procedure is duur, maar gezien de omvang van de schade lijkt dat volgens hem niet onrealistisch.
Nog een probleem: app verzamelt massaal gevoelige data
Tegelijk met het nieuws over de neppe Ledger-app, duikt er nog een opvallend verhaal op. De app Freecash verzamelde op grote schaal gebruikersdata, terwijl ze gebruikers beloofde geld te verdienen door simpelweg door TikTok te scrollen.
De app schopte het snel tot de toplijsten van de App Store, waardoor steeds meer mensen ermee aan de slag gingen. Wat zij niet wisten, is dat Freecash in ruil voor kleine beloningen gevoelige data verzamelde. Het ging onder meer om gegevens over ras, religie, seksleven, seksuele geaardheid, gezondheid en zelfs biometrische informatie. Dat blijkt uit een rapport van Malwarebytes.
Opmerkelijk: Apple had Freecash eerder al uit de App Store verwijderd. De ontwikkelaars konden de app echter opnieuw publiceren via een nieuw ontwikkelaarsaccount. Dat soort praktijken komt vaker voor, hoewel het volgens de App Store-regels niet is toegestaan. Ook deze app is inmiddels opnieuw verwijderd, opnieuw pas nadat er media-aandacht voor kwam.
