App Falsa de Ledger en Apple Store Roba $9,5 Millones en Cripto a Más de 50 Usuarios

Una aplicación falsa para Mac que suplantaba el software de autocustodia de Ledger provocó la pérdida de más de $9,5 millones en criptoactivos de más de 50 usuarios en la última semana, según una nueva investigación del investigador on-chain mejor conocido como ZachXBT.

La aplicación, que se hacía pasar por la app Ledger Live —desde la cual los usuarios pueden gestionar los activos almacenados en los dispositivos de hardware de Ledger— afectó a víctimas desde el 7 de abril hasta el 13 de abril, cuando fue eliminada de la App Store de Apple.

“Los fondos robados fueron lavados a través de más de 150 direcciones de depósito de KuCoin vinculadas a AudiA6, un servicio centralizado de mezcla que cobra altas comisiones para lavar fondos ilícitos”, señaló ZachXBT en un mensaje a su canal de Telegram.

Según su análisis, al menos tres víctimas perdieron más de $1,95 millones cada una, y una billetera fue vaciada de $3,27 millones en USDT. Entre los activos sustraídos se encontraban Bitcoin, Solana, XRP, USDT, entre otros.

El músico G. Love —mejor conocido como Garrett Dutton, vocalista de la veterana banda de rock G. Love & Special Sauce— se encontraba entre las víctimas afectadas por la aplicación falsa, perdiendo 5,92 BTC valuados en alrededor de $447.000. Compartió su historia en X durante el fin de semana.

“Hoy tuve un día muy duro. Perdí mi fondo de retiro en un hackeo/estafa cuando migré mi Ledger a mi nueva computadora y accidentalmente descargué una aplicación maliciosa de Ledger desde la App Store de Apple”, publicó en X el 11 de abril. “Todo mi BTC desapareció en un instante”.

La aplicación falsa permaneció en la App Store por casi dos días más, según el análisis de ZachXBT. Un representante de Apple no respondió de inmediato a la solicitud de comentarios de Decrypt.

Al constatar que los fondos robados habían sido rastreados hasta KuCoin, el equipo de soporte del exchange respondió al músico e indicó que habían congelado una cuenta sospechosa relacionada con los fondos.

“Tenga en cuenta que, si bien podemos ayudar a congelar la cuenta sospechosa una vez recibida la información pertinente o una denuncia creíble, dichas acciones siguen sujetas a los documentos y procesos legales correspondientes para garantizar el cumplimiento normativo”, publicó en X.

Según ZachXBT, el exchange ha estado enfrentando un aumento en la actividad ilícita en su plataforma. El mes pasado, se le prohibió ofrecer acceso a usuarios de EE. UU. salvo que se registrara como una bolsa extranjera. El año pasado, KuCoin fue sancionado con una multa de $14 millones, la mayor multa antilavado de dinero en la historia de Canadá, impuesta por el regulador financiero del país.

Las aplicaciones y sitios web falsos se encuentran entre los vectores de phishing más comunes dirigidos a usuarios de Ledger, según la página de campañas de phishing de la empresa, junto con llamadas, correos electrónicos y cartas fraudulentas. La Fiscalía de EE. UU. para el Distrito de Connecticut recuperó recientemente $600.000 en criptoactivos que habían sido parte de un esquema de fraude mediante cartas falsas que supuestamente provenían de Ledger.

Un representante de Ledger no respondió de inmediato a la solicitud de comentarios de Decrypt, y la empresa no ha emitido un comunicado público sobre la reciente campaña de phishing.