Une application malveillante intitulée Ledger Live pour macOS, disponible sur l’App Store d’Apple, a permis de siphonner environ 9,5 millions de dollars en cryptomonnaies de 50 victimes en quelques jours ce mois-ci.
Les utilisateurs ayant téléchargé cette application frauduleuse ont été dupés en fournissant leurs phrases de récupération, offrant ainsi aux attaquants un accès total à leurs portefeuilles, leur permettant d’envoyer des actifs numériques vers des adresses qu’ils contrôlaient.
Selon l’investigateur en blockchain ZachXBT, les acteurs malveillants ont utilisé plusieurs adresses de portefeuille pour recevoir des fonds sur différentes chaînes, notamment Bitcoin, Ethereum, Tron, Solana et Ripple.
Les sommes dérobées ont ensuite été blanchies via plus de 150 adresses de dépôt sur KuCoin, liées à un service de mélange centralisé connu sous le nom d’“AudiA6,” qui blanchit les cryptos en échange de frais élevés.
Transactions malveillantes
Source: ZachXBT
L’enquête a révélé que trois victimes individuelles avaient subi des pertes à sept chiffres (3,23 millions de dollars, 2,08 millions de dollars et 1,95 million de dollars) entre le 8 et le 11 avril.
Le musicien G. Love a aussi mentionné sur X avoir perdu 5,9 BTC (environ 430 000 dollars) après avoir téléchargé l’application. Cette perte a également été retracée et confirmée par ZachXBT.
D’après une discussion sur Reddit, l’application frauduleuse avait été soumise à l’App Store sous le nom d’éditeur ‘Leva Heal Limited,’ un compte non relié à l’équipe de développement réelle de Ledger.
Le cybercriminel avait également créé une fausse historique de version en publiant de nouvelles versions toutes les quelques jours, passant de 1.0 à 5.0 en seulement deux semaines.
Détails de l’application frauduleuse Ledger
Source: Reddit
Après plusieurs signalements d’utilisateurs, Apple a retiré l’application de l’App Store, mais seulement après que 50 personnes aient perdu au total 9,5 millions de dollars.
BleepingComputer a tenté de joindre Apple pour obtenir un commentaire, mais aucune réponse n’a été reçue.
Parallèlement, KuCoin, qui a été accusé de violations des lois anti-blanchiment dans le passé et a même été condamné à payer 300 millions de dollars d’amendes aux États-Unis l’année dernière, a annoncé avoir gelé les comptes liés à ce stratagème.
Cependant, la plateforme a précisé que ce gel ne durerait que jusqu’au 20 avril. Après cette date, il pourrait être prolongé via une demande officielle des autorités judiciaires.
Il convient de noter que Ledger propose une application pour Mac sur son site, mais pas dans l’App Store d’Apple, où seule une version compatible iOS est présente.
Les cybercriminels ont à nouveau tenté d’exploiter cette lacune d’accessibilité par le passé, en visant même le Microsoft Store en 2023, et en dérobant des cryptomonnaies d’une valeur de 768 000 dollars.