### Um Erro Custoso Usuários que inadvertidamente baixaram o aplicativo **Ledger** falso foram enganados para inserir suas frases de semente/recuperação, entregando efetivamente o controle de suas carteiras. Os atacantes então conseguiram transferir ativos digitais para endereços externos sob seu controle. De acordo com o investigador de blockchain **ZachXBT**, os atacantes utilizaram [vários endereços de carteira](https://chainabuse.com/report/d64b1096-1699-40f6-af9a-85158c2e4ad0) para receber fundos em múltiplas blockchains, incluindo **Bitcoin**, **Ethereum**, **Tron**, **Solana** e **Ripple**. ### Táticas de Lavagem de Dinheiro Os fundos roubados foram subsequentemente lavados através de mais de 150 endereços de depósito na **KuCoin**, ligados a um serviço de mistura centralizado conhecido como “AudiA6”, que se especializa em lavagem de criptomoedas em troca de taxas substanciais.  *Fonte: ZachXBT* **ZachXBT** rastreou perdas individuais variando de US$ 1,95 milhão a US$ 3,23 milhões entre 8 e 11 de abril. Músico G. Love relatou uma perda de 5,9 BTC (aproximadamente US$ 430.000) após baixar o aplicativo comprometido. Essa perda foi verificada por **ZachXBT**. ### Infiltração na App Store De acordo com uma [discussão no Reddit](https://www.reddit.com/r/ledgerwallet/comments/1skbing/warning_fake_mac_app/), o aplicativo falsificado foi submetido à **Apple App Store** sob o nome de editor ‘Leva Heal Limited’, uma entidade não afiliada à equipe de desenvolvimento legítima da **Ledger**. O ator malicioso também fabricou um histórico de versões, lançando atualizações frequentes (da versão 1.0 para 5.0 em duas semanas) para parecer legítimo.  *Fonte: Reddit* ### Resposta da Apple e Envolvimento da KuCoin Após inúmeros relatos de usuários, a **Apple** removeu o aplicativo fraudulento da **App Store**. O BleepingComputer entrou em contato com a **Apple** para comentar, mas não recebeu resposta. A **KuCoin**, que enfrentou escrutínio por [alegações de violações anti-lavagem de dinheiro (AML)](https://www.bleepingcomputer.com/news/cryptocurrency/kucoin-charged-with-aml-violations-that-let-cybercriminals-launder-billions/) e [pagou penalidades substanciais nos EUA](https://www.bleepingcomputer.com/news/cryptocurrency/kucoin-to-pay-nearly-300-million-in-penalties-after-guilty-plea/), anunciou seu envolvimento no congelamento de ativos relacionados ao esquema, mas observou que o congelamento duraria apenas até 20 de abril, a menos que fosse estendido pelas autoridades. ### Posição Oficial da Ledger É crucial notar que a **Ledger** [oferece um aplicativo para Mac](https://support.ledger.com/article/4404389606417-zd) em seu site, mas *não* na **Apple App Store**, onde apenas uma versão compatível com iOS [está disponível](https://apps.apple.com/us/app/ledger-wallet-crypto-app/id1361671700). Atores de ameaças exploraram essa lacuna anteriormente, chegando a mirar a **Microsoft Store** em 2023, [roubando US$ 768.000](https://www.bleepingcomputer.com/news/security/fake-ledger-live-app-in-microsoft-store-steals-768-000-in-crypto/) em criptomoedas através de um aplicativo falso da **Ledger Live**.