شرکت اپل اعلام کرد که یک اپلیکیشن جعلی Ledger Live را از App Store حذف کرده است. برنامه‌ای که خود را به‌عنوان نسخه رسمی کیف پول Ledger معرفی می‌کرد و باعث شد بیش از ۵۰ سرمایه‌گذار ارز دیجیتال در مجموع ۹.۵ میلیون دلار از دست بدهند.

اپل تأیید کرد که این برنامه مخرب حذف شده و توسعه‌دهنده آن با نام “SAS Software Company” نیز از اپ‌استور به‌طور کامل مسدود شده است.

ترفند «Bait-and-Switch»؛ روش کلاهبرداری در اپلیکیشن جعلی

طبق اعلام اپل، توسعه‌دهنده این برنامه از روش کلاهبرداری موسوم به “Bait-and-Switch” (طعمه و تعویض) استفاده کرده بود.

در این رابطه بخوانید‌ : ارز دیجیتال تتر گلد XAUT چیست؟

در این روش:

1. ابتدا یک اپلیکیشن ظاهراً قانونی در اپ‌استور منتشر می‌شود
2.  پس از تأیید توسط اپل، توسعه‌دهنده اسکرین‌شات‌ها و توضیحات برنامه را تغییر می‌دهد
3.  برنامه به شکل یک اپلیکیشن مشهور (در اینجا Ledger Live) نمایش داده می‌شود
4.  کاربران پس از نصب، عبارت بازیابی (Seed Phrase) خود را وارد می‌کنند
5.  مهاجمان به دارایی‌های کریپتویی آن‌ها دسترسی پیدا می‌کنند

نتیجه: سرقت میلیون‌ها دلار دارایی دیجیتال.

اپل در سال ۲۰۲۴ هزاران اپلیکیشن جعلی را حذف کرده است

اپل اعلام کرد چنین تخلفاتی در اپ‌استور چندان نادر نیست.

طبق گزارش این شرکت در سال ۲۰۲۴:

• بیش از ۱۷ هزار اپلیکیشن به دلیل استفاده از روش Bait-and-Switch حذف یا رد شدند
• بیش از ۳۲۰ هزار اپلیکیشن به‌دلیل اسپم، تقلید یا گمراه‌کننده بودن رد شدند
• همچنین بیش از ۳۷ هزار اپلیکیشن مشکوک به کلاهبرداری پیش از انتشار مسدود شدند

بیش از ۵۰ قربانی در یک هفته

تحقیقات انجام‌شده توسط ZachXBT نشان می‌دهد که این کلاهبرداری تنها در فاصله ۷ تا ۱۳ آوریل رخ داده است.

در این مدت:

• بیش از ۵۰ سرمایه‌گذار کریپتو قربانی شدند
• مجموع خسارت به حدود ۹.۵ میلیون دلار رسید

بخش عمده این ضرر مربوط به سه سرمایه‌گذار بوده است:

یک سرمایه‌گذار: ۳.۲۳ میلیون دلار تتر USDT

سرمایه‌گذار دوم: ۲ میلیون دلار USDC

سرمایه‌گذار سوم: ۱.۹۵ میلیون دلار BTC، ETH و stETH

یکی از قربانیان این کلاهبرداری Garrett Dutton، موسیقیدان آمریکایی معروف با نام هنری “G. Love” بود.

همچنین بخوانید : جریان ورودی (inflow) و خروجی (outflow) در صرافی های کریپتو چیست؟

او اعلام کرد که در این حمله حدود ۴۲۰ هزار دلار بیت‌کوین از دست داده است.

کلاهبرداری از طریق اپ‌استورها سابقه طولانی دارد

این اولین بار نیست که اپلیکیشن‌های جعلی وارد فروشگاه‌های رسمی می‌شوند.

برای مثال در سال ۲۰۲۳ کلاهبرداران توانستند فرآیند بررسی Microsoft Store را دور بزنند و نزدیک به ۶۰۰ هزار دلار ارز دیجیتال سرقت کنند.

همچنین اپل از سال ۲۰۱۳ با چنین کلاهبرداری‌هایی مقابله می‌کند؛ در آن سال نسخه جعلی بازی Pokémon Yellow در اپ‌استور منتشر شد و پس از شکایت کاربران حذف شد.

هشدار به کاربران: قبل از نصب اپ‌های کریپتو بررسی کنید

این اتفاق بار دیگر نشان می‌دهد که کاربران باید هنگام نصب اپلیکیشن‌های مرتبط با ارز دیجیتال بسیار محتاط باشند.

چند توصیه مهم امنیتی:

• اپلیکیشن‌ها را فقط از سایت رسمی پروژه دانلود کنید
•  هرگز Seed Phrase یا کلید خصوصی را در هیچ اپلیکیشنی وارد نکنید
•  نام توسعه‌دهنده و نظرات کاربران را بررسی کنید
•  از کیف پول سخت‌افزاری و منابع رسمی استفاده کنید

جمع‌بندی

کلاهبرداری با اپلیکیشن جعلی Ledger Live نشان می‌دهد که حتی فروشگاه‌های رسمی مانند App Store نیز از حملات فیشینگ و مهندسی اجتماعی مصون نیستند.

با پیچیده‌تر شدن روش‌های کلاهبرداری، کاربران کریپتو باید بیش از گذشته به امنیت و بررسی منابع دانلود اپلیکیشن‌ها توجه کنند.

ترجمه شده توسط مجله خبری نیپوتو