Millionenverlust: Fake-Crypto-App über Mac App Store vertrieben
Gut 50 Nutzer sollen eine Woche lang von einem Scam betroffen gewesen sein, bei dem Kryptowährungen in Millionenhöhe abflossen. Apple bemerkte nichts.
Kryptowährung (Symbolbild): Angreifer besorgten sich über eine Fake-Ledger-App Zugänge.
(Bild: Velishchuk Yevhen / Shutterstock.com)
Apple hat über mehrere Tage eine falsche macOS-App des Krypto-Wallet-Anbieters Ledger Live vertrieben, über die fast 10 Millionen US-Dollar abgeflossen sein sollen. Das berichtet CoinDesk. Demnach gab es mindestens 50 Opfer, die zwischen dem 7. und 13. April betroffen waren. Es seien Bitcoin, Ethereum, Tron, Solana und XRP abgeflossen.
Die Summen, die umgerechnet mindestens 9,5 Millionen Dollar ausmachten, sollen bereits über einen Geldwäschedienst gegangen sein. Ledger Live bietet tatsächlich eine echte Anwendung, doch wird diese über die Website des Anbieters vertrieben. Das Scam-Werkzeug stand hingegen im allgemein als sicher geltenden Mac App Store zum Download bereit, bevor Apple es nach gut einer Woche sperrte.
Falsche App im App Store, Original auf der Website
Die Betroffenen hatten in die Scam-App jeweils ihre Wiederherstellungsphrase eingetippt. Über diese erhielten die kriminellen App-Vertreiber dann vollen Zugriff auf die hinterlegten Wallets und führten Transaktionen durch. Ein Betroffener gab an, sein gesamtes für die Rente zurückgelegtes Kryptogeld sei „sofort weg“ gewesen. Eine Einzelperson verlor 5,9 Bitcoin, das entspricht derzeit rund 342.000 Euro.
Videos by heise
CoinDesk konnte über entsprechende Adressen weitere Informationen zu abgeflossenen Mitteln finden. Die am stärksten betroffenen Nutzer verloren siebenstellige Beträge, am Tag gingen zwischen 1,95 und 3,32 Millionen Dollar verloren. Das Waschen der Coins erfolge über einen Mixing-Dienst AudiA6 und insgesamt 150 KuCoin-Adressen, hieß es weiter.
Regulär durchs App-Review gelangt
Es bleibt unklar, wie es passieren konnte, dass eine derartige Scam-App durch Apples als strikt geltenden App-Review-Prozess rutschen konnte. Bei diesem sollte eigentlich überprüft werden, woher eine App stammt und Fakes auffallen. Doch in diesem Fall ging die Anwendung durch. Bei Start und Verwendung gab es dank Signatur keine Probleme oder Warnungen.
Üblicherweise haben Nutzer mehr Vertrauen in Apps, die über den Mac App Store vertrieben werden, als zu solchen, die auf Websites zum Download bereitstehen und einzeln installiert werden müssen. Ledger hat inzwischen reagiert: CTO Charles Guillemet betonte, Ledger werde „niemals nach deinen 24 Wörtern [der Recovery-Phrase] fragen“. Apple hat sich bislang nicht geäußert. Klar bleibt: Bei der Eingabe von Recovery-Phrases sollten Nutzer äußerst vorsichtig sein.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
