Aplicativo Falso Ledger Live na App Store Rouba US$9,5 Milhões de Usuários
Uma versão fraudulenta do aplicativo Ledger Live para macOS, disponível na App Store por alguns dias, resultou no roubo de US$9,5 milhões em criptomoedas de cerca de 50 usuários. O golpe explorou a confiança dos usuários na plataforma da Apple, solicitando a seed phrase para acesso aos fundos.
MundiX News·16 de abril de 2026·5 min de leitura·👁 7 views
Pesquisadores descobriram que, no início de abril, um aplicativo falso do Ledger Live para macOS apareceu na Apple App Store. O aplicativo fraudulento ficou disponível na loja por vários dias e, com sua ajuda, os invasores roubaram cerca de US$9,5 milhões em criptomoedas de 50 usuários.
Os usuários que baixaram o Ledger falso foram vítimas de um esquema clássico: o aplicativo solicitava que eles inserissem sua seed phrase, após o que os invasores obtinham acesso total às carteiras e transferiam os ativos para seus endereços.
Conforme relatado pelo conhecido analista de blockchain ZachXBT, os hackers usaram várias carteiras para receber fundos em várias redes simultaneamente – Bitcoin, Ethereum, Tron, Solana e Ripple. Os fundos roubados foram então lavados por meio de 150 endereços na exchange KuCoin, que estavam ligados ao mixer centralizado AudiA6.
O especialista rastreou as três maiores vítimas desta campanha, que perderam somas de sete dígitos: US$3,23 milhões, US$2,08 milhões e US$1,95 milhões – todas as transações ocorreram entre 8 e 11 de abril. Outra vítima foi o músico G. Love, que escreveu na rede social X que perdeu 5,9 BTC (cerca de US$430.000) após instalar o aplicativo. ZachXBT também confirmou esta transação.
De acordo com uma discussão sobre a situação no Reddit, o aplicativo falso foi publicado na App Store em nome da editora Leva Heal Limited – uma conta não relacionada à equipe real da Ledger. Para dar credibilidade ao produto, o invasor simulou um histórico completo de lançamentos: novas versões foram lançadas a cada poucos dias, de modo que em algumas semanas o número da versão conseguiu crescer de 1.0 para 5.0.
Após inúmeras reclamações, representantes da Apple removeram o malware da App Store, mas, a essa altura, 50 usuários já haviam perdido um total de US$9,5 milhões. Este incidente serve como um lembrete da importância de verificar a autenticidade dos aplicativos, mesmo em lojas oficiais.
Representantes da exchange KuCoin, que já havia sido acusada de violar as leis de combate à lavagem de dinheiro (no ano passado, a empresa foi multada em US$300 milhões), informaram que congelaram as contas envolvidas neste esquema. No entanto, o congelamento durará até 20 de abril e só poderá ser prorrogado mediante solicitação oficial das autoridades policiais.
Vale a pena notar que a Ledger realmente oferece uma versão macOS de seu aplicativo, mas exclusivamente em seu próprio site. Apenas a versão iOS está oficialmente disponível na App Store – e foi essa lacuna que os invasores exploraram. Este caso demonstra a importância de baixar softwares diretamente do site oficial do fornecedor, especialmente quando se trata de aplicativos de criptomoedas. A utilização de uma seed phrase em um aplicativo não oficial sempre representa um risco significativo de perda de fundos.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores descobriram que, no início de abril, um aplicativo falso do Ledger Live para macOS apareceu na Apple App Store. O aplicativo fraudulento ficou disponível na loja por vários dias e, com sua ajuda, os invasores roubaram cerca de US$9,5 milhões em criptomoedas de 50 usuários.
Os usuários que baixaram o Ledger falso foram vítimas de um esquema clássico: o aplicativo solicitava que eles inserissem sua seed phrase, após o que os invasores obtinham acesso total às carteiras e transferiam os ativos para seus endereços.
Conforme relatado pelo conhecido analista de blockchain ZachXBT, os hackers usaram várias carteiras para receber fundos em várias redes simultaneamente – Bitcoin, Ethereum, Tron, Solana e Ripple. Os fundos roubados foram então lavados por meio de 150 endereços na exchange KuCoin, que estavam ligados ao mixer centralizado AudiA6.
O especialista rastreou as três maiores vítimas desta campanha, que perderam somas de sete dígitos: US$3,23 milhões, US$2,08 milhões e US$1,95 milhões – todas as transações ocorreram entre 8 e 11 de abril. Outra vítima foi o músico G. Love, que escreveu na rede social X que perdeu 5,9 BTC (cerca de US$430.000) após instalar o aplicativo. ZachXBT também confirmou esta transação.
De acordo com uma discussão sobre a situação no Reddit, o aplicativo falso foi publicado na App Store em nome da editora Leva Heal Limited – uma conta não relacionada à equipe real da Ledger. Para dar credibilidade ao produto, o invasor simulou um histórico completo de lançamentos: novas versões foram lançadas a cada poucos dias, de modo que em algumas semanas o número da versão conseguiu crescer de 1.0 para 5.0.
Após inúmeras reclamações, representantes da Apple removeram o malware da App Store, mas, a essa altura, 50 usuários já haviam perdido um total de US$9,5 milhões. Este incidente serve como um lembrete da importância de verificar a autenticidade dos aplicativos, mesmo em lojas oficiais.
Representantes da exchange KuCoin, que já havia sido acusada de violar as leis de combate à lavagem de dinheiro (no ano passado, a empresa foi multada em US$300 milhões), informaram que congelaram as contas envolvidas neste esquema. No entanto, o congelamento durará até 20 de abril e só poderá ser prorrogado mediante solicitação oficial das autoridades policiais.
Vale a pena notar que a Ledger realmente oferece uma versão macOS de seu aplicativo, mas exclusivamente em seu próprio site. Apenas a versão iOS está oficialmente disponível na App Store – e foi essa lacuna que os invasores exploraram. Este caso demonstra a importância de baixar softwares diretamente do site oficial do fornecedor, especialmente quando se trata de aplicativos de criptomoedas. A utilização de uma seed phrase em um aplicativo não oficial sempre representa um risco significativo de perda de fundos.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
