Assim como o CoinDesk informou que um aplicativo Ledger falso havia drenado milhões de usuários da App Store, o TechCrunch revelou que outro aplicativo estava coletando dados confidenciais do usuário. A Apple puxou ambos hoje. Aqui estão os detalhes.
Fundos falsos da tabela do aplicativo de digitalização de pelo menos 50 usuários
De acordo com o CoinDesk, pelo menos 50 pessoas tiveram seus fundos Bitcoin, Ethereum, Solana, Tron e XRP roubados entre 7 e 13 de abril, depois que um aplicativo malicioso chamado Ledger Live passou pela análise e chegou à App Store.
Três das maiores vítimas perderam somas de sete dígitos, com US$ 3,23 milhões em USDT sendo roubados em 9 de abril, US$ 2,08 milhões em USDC em 11 de abril e US$ 1,95 milhão em BTC, ETH e stETH sendo drenados em 8 de abril.
O relatório diz que os fundos foram rastreados até endereços de depósito KuCoin associados ao Audi A6, “um serviço centralizado de mistura de criptografia conhecido por cobrar altas taxas para ofuscar fluxos ilícitos”.
CoinDesk diz que a Apple removeu o aplicativo da App Store, mas não respondeu aos pedidos de comentários. Nem a KuCoin, que enfrentou problemas legais associados a violações de lavagem de dinheiro.
Não está imediatamente claro como o Ledger Lite passou pela análise do aplicativo, nem por que a Apple não tomou medidas quando os primeiros relatos de fundos roubados começaram a aparecer depois de 7 de abril.
O relatório da CoinDesk observa que “o incidente pode servir de base para uma ação coletiva”, de acordo com o investigador da Blockchain, ZachXBT.
Um dia difícil para análise da App Store
O caso Ledger Live não foi o único a levantar preocupações na App Store hoje.
De acordo com o TechCrunch, a Apple retirou um aplicativo de coleta de dados chamado Freecash da App Store, depois que o aplicativo “parece ter enganado os usuários ao subir rapidamente para o topo das paradas” nos últimos meses.
O relatório observa que o Freecash se tornou popular no TikTok ao prometer aos usuários que poderiam “ganhar dinheiro apenas navegando no TikTok”, quando na realidade os usuários estavam efetivamente trocando dados pessoais confidenciais por recompensas:
Um relatório da Malwarebytes observa que o aplicativo pode coletar informações sobre raça, religião, vida sexual, orientação sexual, saúde e outros dados biométricos dos usuários, acrescentando que o aplicativo é essencialmente um corretor de dados que busca combinar desenvolvedores de jogos com usuários que desejam instalar e gastar dinheiro em jogos para celular. Os jogos promovidos no Freecash incluem Monopoly Go e Disney Solitaire, entre outros.
O relatório da Malwarebytes veio poucos dias depois que a Wired também investigou o aplicativo, levantando preocupações sobre seu marketing enganoso e o escopo dos dados do usuário que ele pode estar coletando.
A própria investigação do TechCrunch, baseada em dados do Appfigures e AppMagic, descobriu que uma versão anterior do Freecash, publicada pela Almedia GmbH, foi removida da App Store em meados de 2024.
Meses depois, um aplicativo existente chamado Rewards, publicado pela 256 Rewards Ltd, com sede em Chipre, foi rebatizado como Freecash e subiu para o topo das paradas, levantando questões sobre se a Almedia usou outra conta de desenvolvedor para retornar à App Store.
Aqui está o TechCrunch:
A reentrada da Almedia na App Store através de outra conta de desenvolvedor pode ter sido uma forma de contornar o banimento do aplicativo Freecash inicial. Usar outro desenvolvedor para entrar novamente na App Store após um banimento é uma tática comum, embora que viole as regras. (O porta-voz da Almedia se recusou a comentar sobre a remoção anterior do aplicativo.)
Um relatório do Washington Post sobre o ecossistema de aplicativos fraudulentos observou essa tendência, destacando vários aplicativos fraudulentos que desapareceriam da App Store e reapareceriam em uma conta de desenvolvedor diferente. Outras investigações independentes também documentaram essa tática e, muitas vezes, os proprietários de aplicativos fraudulentos operam um portfólio de contas, foi relatado.
O TechCrunch diz que o Freecash foi removido da App Store depois que o site entrou em contato com a Apple para comentar, enquanto trabalhava na história:
Depois que o TechCrunch entrou em contato com a Apple para comentar, a empresa removeu o Freecash da App Store na segunda-feira por violações de suas regras, citando marketing enganoso. A Apple apontou ao TechCrunch duas Diretrizes de Revisão da App Store, 3.1.2 (a) e 2.3.1, que proíbem golpes de usuários, envolvimento em táticas de isca e troca e marketing de aplicativos de forma enganosa.
A Almedia, por sua vez, “negou a crença de direcionar tráfego artificial para sua plataforma ou usar técnicas de marketing enganosas” e acrescentou que seus aplicativos “são totalmente compatíveis com as políticas da Apple App Store e Google Play Store, como demonstrado pelo fato de que eles estão ativos e passam regularmente nas análises da plataforma”.
Vale a pena conferir na Amazon
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
