Um aplicativo de smartphone na App Store da Apple, imitando o nome e o estilo visual das carteiras de hardware Trezor, foi usado para roubar 17,1 Bitcoins (BTC) de um usuário desavisado – com valor de aproximadamente US$ 600.000.
De acordo com uma reportagem do The Washington Post, o usuário da Trezor, Phillipe Christodoulou, armazenou seu Bitcoin em uma carteira de hardware Trezor e – querendo verificar seu saldo – baixou um aplicativo que supostamente era do Trezor na App Store.
Embora a Trezor atualmente não suporte o sistema operacional móvel iOS da Apple e não tenha um aplicativo móvel, o aplicativo usava o nome e a marca da empresa e tinha uma classificação de usuário de quase cinco estrelas – fazendo com que parecesse confiável.
Depois que Christodoulou baixou o aplicativo e inseriu suas credenciais, todas as suas criptomoedas desapareceram imediatamente.
“Eles traíram a confiança que eu tinha neles. A Apple não merece se safar com isso”, disse Christodoulou.
Christodoulou não é a única pessoa a ser vítima do golpe; O morador da Geórgia, James Fajcz, também disse ao jornal que perdeu US$ 14.000 em Bitcoin e Ethereum para o aplicativo falso.
Apps burlando regras
A Apple diz que sua loja é “o mercado de aplicativos mais confiável do mundo”. Em declarações ao Washington Post, um porta-voz da Apple explicou que todos os aplicativos passam por um processo de revisão rigoroso – mas reconheceu que houve outros golpes com criptomoeda na App Store. O aplicativo que foi usado para enganar Christodoulou estava disponível na App Store de pelo menos 22 de janeiro a 3 de fevereiro e foi baixado cerca de 1.000 vezes.
Neste caso específico, o aplicativo Trezor falso foi inicialmente apresentado na categoria “criptografia” – como uma solução para criptografar arquivos do iPhone e armazenar senhas – antes de ser transformado pelos desenvolvedores em um aplicativo de carteira de criptomoedas. A Apple disse ao Washington Post que removeu 6.500 aplicativos de “recursos ocultos e não documentados” no ano passado, mas reconheceu que depende de usuários e clientes para denunciar aplicativos falsos. Quando Christodoulou verificou as avaliações escritas do aplicativo Trezor falso, leu inúmeras reclamações de outras pessoas que haviam sido enganadas da mesma forma.
A Apple não é a única empresa cuja loja de aplicativos já hospedou aplicativos falsos de carteiras de criptomoedas. Em janeiro deste ano, Trezor acessou o Twitter para alertar os usuários sobre um aplicativo malicioso para Android na Google Play Store que foi baixado mais de 1.000 vezes.
“Não permitimos aplicativos que enganam os usuários ao se passar por outro aplicativo, desenvolvedor ou empresa e, quando descobrimos um aplicativo que viola nossas políticas, tomamos as medidas adequadas”, disse o porta-voz do Google Colin Smith ao Washington Post; a empresa observou que recentemente identificou e removeu dois aplicativos falsos do Trezor da Google Play Store, embora a empresa de análise App Figures tenha identificado oito aplicativos falsos na loja.
Em ambos os casos, os golpistas usaram uma técnica de phishing para convencer os usuários da carteira de hardware a inserir sua frase de recuperação – permitindo que eles criassem uma cópia da carteira e enviassem os fundos nela contidos para um endereço de sua escolha. A empresa de análise de Blockchain Chainalysis relatou que os fundos de Christodoulou e Fajcz foram enviados para “uma conta suspeita”.
Nem é preciso dizer que você nunca deve inserir sua frase de recuperação de carteira em um aplicativo – por mais convincente que possa parecer à primeira vista.