Comme l’a rapporté CoinDesk, une application Ledger frauduleuse a siphonné des millions aux utilisateurs de l’App Store, tandis que TechCrunch a révélé que Freecash, une autre application, a collecté des données sensibles sur les utilisateurs. Apple a retiré les deux applications aujourd’hui. Voici les détails.
Une application frauduleuse vole des fonds à au moins 50 utilisateurs
Selon CoinDesk, au moins 50 personnes ont perdu leurs fonds en Bitcoin, Ethereum, Solana, Tron et XRP entre le 7 et le 13 avril, après qu’une application malveillante nommée Ledger Live a réussi à passer la revue et à se retrouver sur l’App Store.
Trois des victimes majeures ont perdu des sommes à sept chiffres, avec 3,23 millions de dollars en USDT volés le 9 avril, 2,08 millions de dollars d’USDC le 11 avril, et 1,95 million en BTC, ETH et stETH drainés le 8 avril.
Les fonds ont été retracés vers des adresses de dépôt KuCoin, associées à un service de mélange de crypto-monnaies connu. CoinDesk indique qu’Apple a retiré l’application de l’App Store, mais n’a pas répondu aux demandes de commentaires concernant la manière dont Ledger Lite avait réussi à passer la revue, ni pourquoi aucune action n’a été prise lorsque les premiers rapports de fonds volés ont émergé après le 7 avril.
Le rapport souligne également que l’incident pourrait donner lieu à un recours collectif, selon l’expert en blockchain ZachXBT.
Une journée difficile pour la revue de l’App Store
Le cas de Ledger Live n’était pas le seul à soulever des préoccupations concernant l’App Store aujourd’hui. D’après TechCrunch, Apple a retiré une application de collecte de données nommée Freecash, qui avait apparemment trompé les utilisateurs en grimpant rapidement dans les classements au cours des derniers mois.
Freecash est devenu populaire sur TikTok en promettant aux utilisateurs qu’ils pouvaient « gagner de l’argent juste en scrollant sur TikTok », alors qu’en réalité, les utilisateurs échangeaient des données personnelles sensibles contre des récompenses. Un rapport de Malwarebytes indique que l’application pourrait collecter des informations sur la race, la religion, la vie sexuelle et d’autres données biométriques des utilisateurs.
Les jeux promus sur Freecash incluent Monopoly Go et Disney Solitaire, parmi d’autres. Le rapport de Malwarebytes est paru quelques jours après que Wired a également enquêté sur l’application, soulevant des inquiétudes concernant son marketing trompeur et l’ampleur des données collectées.
TechCrunch a révélé qu’une version antérieure de Freecash, publiée par Almedia GmbH, avait été retirée de l’App Store au milieu de l’année 2024. Des mois plus tard, une application existante nommée Rewards, publiée par 256 Rewards Ltd, a été rebaptisée Freecash et a grimpé au top des charts, soulevant des questions sur la manière dont Almedia a pu utiliser un autre compte développeur pour revenir sur l’App Store.
Selon TechCrunch, la réintroduction d’Almedia dans l’App Store via un autre compte développeur pourrait avoir été une manière de contourner l’interdiction de l’application Freecash initiale. Cette pratique est courante, bien qu’elle soit contraire aux règles de l’App Store. Almedia a refusé de faire des commentaires concernant la suppression de son application précédente.
Après que TechCrunch a contacté Apple pour obtenir des commentaires, l’entreprise a retiré Freecash de l’App Store pour violations de ses règles concernant le marketing trompeur.
