Lancio del servizio beta di SOMESING, “My Hand-Carry Studio Karaoke App” di successo

La comunità delle criptovalute ha recentemente dovuto affrontare una significativa violazione della sicurezza che coinvolge un’applicazione Ledger Live contraffatta sul Microsoft App Store. Questo incidente, che ha portato al furto di oltre 768.000 dollari in criptovalute, serve a ricordare duramente le vulnerabilità nella sicurezza delle risorse digitali e l’importanza della vigilanza tra gli utenti.

L’esecuzione della truffa

• Presenza nel Microsoft Store: L’app fraudolenta, denominata “Ledger Live Web3”, era presente nel Microsoft Store dal 19 ottobre. I furti sono stati segnalati pochi giorni dopo, indicando una breve ma significativa finestra di vulnerabilità.

  

• Bandiere rosse ignorate: Nonostante diversi segnali d’allarme, come la mancanza di recensioni legittime (solo una valutazione a cinque stelle) e il nome dello sviluppatore indicato come “Official Dev”, l’app è riuscita a ingannare gli utenti. La descrizione è stata copiata quasi interamente dall’app legittima dell’Apple Store.
• Esperienze delle vittime: Diverse vittime hanno riportato perdite significative, con un utente Reddit che ha condiviso una perdita dei risparmi di una vita per un totale di $ 26.500 poco dopo aver inserito la frase seed nell’app falsa.

  

La risposta e le conseguenze

• Azione di Microsoft: Microsoft ha rimosso l’app lo stesso giorno in cui è stata scoperta la frode, ma non prima che il truffatore avesse trasferito più di 768.000 dollari dalle vittime.
• Processo di indagine e valutazione: Secondo quanto riferito, Microsoft sta lavorando per garantire che i contenuti dannosi vengano identificati e rimossi rapidamente. Tuttavia, l’incidente solleva dubbi sull’efficacia del processo di verifica delle app.

Lezioni e raccomandazioni

• Vigilanza sugli utenti: Questo incidente rafforza la necessità per gli utenti di essere estremamente cauti, soprattutto quando inseriscono informazioni sensibili come le frasi di recupero. Le app autentiche di aziende come Ledger o Trezor non chiederanno mai agli utenti di inserire le loro frasi di recupero nei loro computer o telefoni.
• Verifica dell’autenticità: Gli utenti dovrebbero verificare l’autenticità delle app controllando le fonti ufficiali e diffidando di eventuali discrepanze nelle descrizioni delle app, nei nomi degli sviluppatori e nelle recensioni degli utenti.

La truffa si svela

Gli hacker sono riusciti a introdurre una falsa app Ledger Live nel Microsoft App Store, inducendo gli utenti a credere che fosse l’applicazione legittima per Ledger, un rinomato produttore di portafogli hardware per criptovalute. Questa app contraffatta è stata progettata per apparire e funzionare come la vera app Ledger Live, rendendo difficile per gli utenti distinguere il falso dall’originale.

Coloro che sono stati indotti a scaricare la versione contraffatta dell’app hanno installato inavvertitamente malware in grado di rubare criptovaluta. Questo malware funzionava catturando le frasi di recupero degli utenti, prendendo di mira in particolare coloro che utilizzavano portafogli hardware Ledger, con l’obiettivo di rubare le loro risorse digitali.

I creatori dell’app falsa sono stati piuttosto ingannevoli, imitando meticolosamente l’aspetto e la funzionalità dell’app autentica, compresi i loghi e il marchio. Sono arrivati ​​addirittura al punto di fabbricare un falso processo di verifica dei pin del dispositivo Ledger. La sorprendente somiglianza tra le app autentiche e quelle contraffatte ha rappresentato una sfida significativa per gli utenti nel distinguere quella vera da quella falsa.

Impatto finanziario e dettagli della transazione

Le conseguenze di questa truffa furono significative. Secondo l’analista on-chain ZachXBT, gli aggressori hanno rubato oltre 16,8 bitcoin, valutato a circa $ 588.000 in BTC e ulteriori $ 180.000 in ETH, portando la perdita totale a oltre $ 768.000. Questo furto non solo evidenzia i rischi finanziari coinvolti, ma sottolinea anche la sofisticatezza dei metodi utilizzati dai criminali informatici nel settore delle criptovalute.

Dinamiche dettagliate della truffa

• Perdite finanziarie: La falsa app Ledger Live, identificata come “Ledger Live Web3”, ha portato al furto di quasi 600.000 dollari in Bitcoin. Il truffatore ha ricevuto circa 16,8 BTC, per un valore di circa 588.000 dollari, in 38 transazioni.

  

• Dettagli di Transazione: La prima transazione sul portafoglio del truffatore è avvenuta il 24 ottobre, mentre il portafoglio rimaneva inattivo prima di tale data. Il trasferimento più grande è stato di 81.200 dollari il 4 novembre. Circa 115.200 dollari hanno lasciato il portafoglio del truffatore, lasciandolo con circa 473.800 dollari o 13,5 BTC.
• Individuazione e rimozione delle app: L’app fraudolenta è stata individuata per la prima volta il 5 novembre ed era presente nel Microsoft Store già dal 19 ottobre. Da allora Microsoft ha rimosso l’app e sta lavorando per prevenire incidenti simili.

Contributi e risultati di ZachXBT

1. Rilevazione iniziale e avviso: ZachXBT è stato determinante nel portare l’attenzione sulla truffa dell’app Ledger Live contraffatta. Ha avvisato la comunità delle criptovalute della falsa app Ledger Live sul Microsoft Store, che ha provocato un significativo furto di Bitcoin.

   

2. Dettagli del furto: Secondo ZachXBT, l’app falsa ha portato al furto di oltre 16,8 bitcoin, per un valore di circa 588.000 dollari. Ha sottolineato l’entità del furto e la sofisticatezza della truffa.
3. Ulteriori vittime e perdite: Oltre al furto iniziale di Bitcoin, ZachXBT ha riferito che un’altra vittima con un file L’indirizzo ETH/BSC ha perso 180.000 dollari a causa della falsa applicazione Ledger. Ciò ha portato la perdita totale stimata a oltre $ 768.000.

   

4. Critica dei processi di verifica delle app: ZachXBT ha sollevato preoccupazioni sui processi di verifica delle app delle principali piattaforme come Microsoft App Store. Si è chiesto come un’app così fraudolenta possa aggirare i consueti controlli di sicurezza, suggerendo che questi processi potrebbero non essere così diligenti come richiesto.
5. Risposta alle domande della community: In risposta alle domande della comunità su come potrebbe verificarsi una truffa del genere, ZachXBT ha indicato che le società di app potrebbero non controllare le app in modo sufficientemente approfondito, il che consente a tali attività fraudolente di sfuggire.
6. Contesto storico: ZachXBT ha anche notato che questo non è stato un incidente isolato. Ha sottolineato che truffe simili si erano già verificate in precedenza, tra cui a app falsa relativa a Trezor, un altro produttore di portafogli hardware, apparsa nell’Apple App Store.
7. Difesa della responsabilità: ZachXBT ha sostenuto che Microsoft dovrebbe essere ritenuta responsabile per aver consentito la comparsa della falsa app Ledger Live nel suo app store, sottolineando la necessità di processi di revisione delle app più rigorosi per prevenire tali truffe.
8. Comunicazione diretta con le vittime: ZachXBT ha ricevuto messaggi da numerose vittime che avevano perso criptovaluta dopo aver installato l’app falsa, il che ha ulteriormente sottolineato l’impatto della truffa nel mondo reale.

   

L’analisi e il reporting di ZachXBT sono stati cruciali per scoprire i dettagli della truffa dell’app Ledger Live contraffatta. Le sue scoperte non solo hanno evidenziato le perdite finanziarie subite dalle vittime, ma hanno anche sollevato importanti questioni sulle misure di sicurezza e sui processi di controllo degli app store. Questo incidente, come portato alla luce da ZachXBT, serve a ricordare duramente i rischi associati alla gestione delle risorse digitali e l’importanza della vigilanza nella comunità delle criptovalute.

La risposta e istanze precedenti simili

Dopo la scoperta, Microsoft ha prontamente rimosso l’app fraudolenta dal suo store. Tuttavia, l’incidente ha sollevato dubbi sull’efficacia dei processi di verifica delle app sulle principali piattaforme come Microsoft, Apple e Google. Questi giganti della tecnologia hanno dovuto affrontare problemi simili in passato, quando applicazioni canaglia mascherate da software legittimo sono sfuggite ai loro processi di revisione.

Il marzo 2021 ha visto un evento devastante per un individuo caduto per a applicazione Trezor contraffatta trovata nell’App Store di Apple, con la conseguente perdita di tutti i suoi risparmi in bitcoin. I colpevoli si sono dati alla fuga con 17,1 bitcoin. La vittima ha espresso più rabbia nei confronti di Apple rispetto ai veri rapinatori in una dichiarazione al Washington Post.

All’epoca, Apple dichiarò: “Nei casi limitati in cui i criminali frodano i nostri utenti, adottiamo azioni rapide contro questi attori e per prevenire violazioni simili in futuro”.

Microsoft, Apple e gli app store di Google hanno inavvertitamente consentito l’uso di numerose app fittizie mascherate da software legittimo. Queste applicazioni sono spesso realizzate per effettuare phishing per ottenere il seed o i dettagli di accesso di un utente con l’intento di dirottare i suoi fondi. La vigilanza è fondamentale quando si verifica la legittimità di un’app; ciò include l’esame accurato di errori di battitura, icone o spiegazioni non corrispondenti e i dettagli di contatto dello sviluppatore.

Ruolo e responsabilità di Microsoft

• Responsabilità: La presenza dell’app falsa nel Microsoft Store ha sollevato dubbi sulla responsabilità di Microsoft nel controllo delle applicazioni. ZachXBT, l’analista on-chain che ha identificato la truffa, ha suggerito che Microsoft dovrebbe essere ritenuta responsabile per aver consentito l’utilizzo dell’app falsa sulla sua piattaforma.
• Incidenti precedenti: Questa non è la prima istanza di una falsa app Ledger Live che appare nell’app store di Microsoft. L’account di supporto di Ledger aveva precedentemente informato gli utenti di app contraffatte simili a dicembre e marzo.

La vigilanza sugli utenti è fondamentale

Questo evento sottolinea la necessità fondamentale per gli utenti di rimanere vigili durante il download e l’utilizzo di applicazioni relative alla gestione delle criptovalute. Gli utenti dovrebbero esaminare attentamente le app per individuare eventuali segnali di allarme come errori di battitura, icone non corrispondenti e dettagli di contatto dello sviluppatore discutibili. Inoltre, è fondamentale scaricare app solo da fonti verificate e mai da negozi di terze parti.

Risposta e raccomandazioni di Ledger

Il team di supporto di Ledger ha agito immediatamente per avvisare la comunità dell’applicazione contraffatta. Hanno sottolineato che Ledger non chiede mai agli utenti frasi di recupero di 24 parole e hanno consigliato di scaricare Ledger Live solo dal loro sito ufficiale.

Ledger: “Certamente lo segnaliamo, ma solo Microsoft può rimuoverlo e lavorare dalla sua parte”

Ledger consiglia inoltre agli utenti di verificare l’autenticità del proprio file di installazione binario confrontando il suo valore hash con quello elencato sul loro sito web.

Lezioni imparate

Questo incidente funge da ammonimento per la comunità crittografica. Evidenzia la necessità di misure di sicurezza rafforzate e di educazione degli utenti per combattere le tattiche in evoluzione dei criminali informatici. Gli utenti devono prestare la massima attenzione, soprattutto quando hanno a che fare con applicazioni che gestiscono informazioni finanziarie sensibili.

Conclusione

La truffa dell’app contraffatta Ledger Live ricorda la battaglia in corso contro le minacce informatiche nel mondo delle criptovalute. Mentre il settore continua a crescere, aumenta anche la sofisticazione degli attacchi. È fondamentale sia per gli utenti che per le aziende stare al passo con queste minacce attraverso vigilanza, formazione e solide pratiche di sicurezza. Questo incidente serve a ricordare duramente le minacce persistenti nel settore delle risorse digitali e la necessità di vigilanza e formazione continue per proteggersi da truffe così sofisticate.