ULTIMA ORA
Loading...
EduNews24
Truffa sull'App Store di Apple: un'app falsa di Ledger Live ruba 9,5 milioni di dollari in criptovalute
Tecnologia

Truffa sull'App Store di Apple: un'app falsa di Ledger Live ruba 9,5 milioni di dollari in criptovalute

Disponibile in formato audio

Oltre 50 vittime in appena sette giorni. I fondi dispersi su 150 indirizzi KuCoin. Ora si parla di class-action contro Cupertino per i controlli insufficienti

Un clone perfetto nell'App Store

C'è voluta meno di una settimana. Sette giorni esatti in cui un'applicazione fraudolenta, spacciata per la celebre Ledger Live, ha operato indisturbata all'interno dell'Apple App Store, sottraendo 9,5 milioni di dollari in criptovalute a oltre cinquanta utenti ignari. Una cifra che, nella galassia delle frodi digitali, rappresenta uno degli episodi più gravi mai registrati su una piattaforma considerata, almeno sulla carta, tra le più sicure al mondo.

L'app fasulla è riuscita a superare il processo di revisione di Apple, presentandosi con un'interfaccia grafica pressoché identica all'originale. L'account sviluppatore associato, tuttavia, non era in alcun modo riconducibile a Ledger SAS, la società francese che produce i noti hardware wallet per criptovalute. Un dettaglio che, stando a quanto emerge dalle prime ricostruzioni, avrebbe dovuto rappresentare un campanello d'allarme nella fase di approvazione.

Come funzionava la truffa

Il meccanismo era tanto semplice quanto devastante. L'applicazione clonata replicava fedelmente l'esperienza d'uso di Ledger Live, il software ufficiale che consente di gestire i propri asset digitali in combinazione con i dispositivi hardware Ledger. Una volta installata, l'app induceva gli utenti, attraverso sofisticate tecniche di ingegneria sociale, a inserire la propria seed phrase, ovvero la sequenza di 12 o 24 parole che costituisce la chiave d'accesso definitiva al portafoglio crittografico.

È il principio cardine di ogni truffa legata al phishing di criptovalute: chi possiede la seed phrase possiede i fondi. Nessuna password, nessuna autenticazione a due fattori può proteggere un wallet una volta che quella sequenza finisce nelle mani sbagliate. I truffatori lo sapevano bene e hanno costruito l'intera operazione attorno a questo singolo, fatale passaggio.

L'app mostrava messaggi di errore fittizi, richieste di "verifica di sicurezza" e notifiche allarmistiche progettate per spingere l'utente a digitare la propria seed phrase in un campo di testo che, naturalmente, trasmetteva i dati direttamente ai criminali.

I numeri del furto e la pista KuCoin

I dati che emergono dall'analisi on-chain sono eloquenti. In soli sette giorni l'operazione ha colpito oltre 50 vittime, per un bottino complessivo di 9,5 milioni di dollari in diverse criptovalute. I fondi sottratti sono stati rapidamente frammentati e dispersi su circa 150 indirizzi riconducibili all'exchange KuCoin, una piattaforma con sede alle Seychelles che in passato è già finita sotto la lente delle autorità di regolamentazione statunitensi.

La scelta di KuCoin non appare casuale. L'exchange, pur essendo tra i più utilizzati al mondo, è stato oggetto nel 2023 di un'azione legale da parte del Dipartimento di Giustizia degli Stati Uniti per presunte violazioni delle normative antiriciclaggio. Un contesto che rende particolarmente complesso, anche se non impossibile, il tracciamento e il recupero dei fondi rubati.

La vicenda si inserisce in un panorama più ampio di operazioni fraudolente nel settore delle criptovalute. Mentre alcune aziende del comparto blockchain continuano a raccogliere capitali importanti, come dimostra il caso di Leap ottiene un importante finanziamento da 65 milioni di dollari per il suo sviluppo, le truffe ai danni degli utenti retail restano una piaga che mina la fiducia nell'intero ecosistema.

Apple sul banco degli imputati

La domanda che rimbalza ora tra esperti di sicurezza informatica, associazioni dei consumatori e legali è una sola: com'è possibile che un'app palesemente fraudolenta abbia superato i controlli di Apple?

Cupertino ha sempre fatto del rigore del proprio processo di revisione un argomento di vendita. L'App Store, a differenza del Google Play Store di Android, è presentato come un ecosistema chiuso e controllato, dove ogni applicazione viene verificata prima della pubblicazione. Eppure, in questo caso, il sistema ha fallito clamorosamente.

Secondo le prime indiscrezioni riportate dalla stampa specializzata, un gruppo di vittime starebbe valutando una class-action contro Apple, sostenendo che la multinazionale abbia una responsabilità diretta nell'aver consentito la distribuzione di un software truffaldino attraverso la propria piattaforma. L'argomento giuridico non è banale: Apple incassa una commissione su ogni transazione generata dalle app presenti nel suo store, e proprio questo modello di business le imporrebbe, secondo i promotori dell'azione legale, un dovere di diligenza rafforzato.

Non sarebbe la prima volta che i grandi colossi tecnologici si trovano a rispondere delle conseguenze delle proprie politiche di controllo. In un settore diverso ma con dinamiche analoghe, Zuckerberg propone 450 milioni di dollari per risolvere le accuse di monopolio è un esempio di come le big tech siano sempre più spesso chiamate a rendere conto delle proprie responsabilità.

Al momento Apple non ha rilasciato dichiarazioni ufficiali sull'accaduto, limitandosi a rimuovere l'app fraudolenta dallo store.

Come proteggersi dalle truffe sulla seed phrase

L'episodio offre l'occasione per ribadire alcune regole fondamentali che chiunque detenga criptovalute dovrebbe conoscere a memoria.

  • Mai inserire la seed phrase in un'app o su un sito web. Nessun servizio legittimo chiederà mai di digitare la sequenza di recupero del proprio wallet. Ledger stessa lo ribadisce con insistenza in ogni comunicazione ufficiale.
  • Verificare sempre lo sviluppatore dell'app. Prima di scaricare qualsiasi applicazione legata alla gestione di asset finanziari, è indispensabile controllare che l'account sviluppatore corrisponda effettivamente all'azienda dichiarata.
  • Scaricare il software solo dai canali ufficiali. Nel caso di Ledger Live, il download sicuro è disponibile esclusivamente dal sito ledger.com. Lo stesso principio vale per ogni wallet o exchange.
  • Diffidare di richieste urgenti. Le tecniche di ingegneria sociale fanno leva sull'urgenza e sulla paura. Un messaggio che chiede un'azione immediata "per proteggere i propri fondi" è, quasi sempre, il segnale inequivocabile di una truffa.
  • Conservare la seed phrase offline. Su carta, su una piastra metallica, mai in formato digitale. Un file sul telefono o nel cloud è una vulnerabilità, non una precauzione.

La questione resta aperta. Da un lato, la responsabilità individuale degli utenti nel custodire le proprie chiavi crittografiche. Dall'altro, il ruolo dei gatekeeper digitali come Apple, che traggono profitto dal proprio ecosistema chiuso promettendo, in cambio, un livello di sicurezza che, in questo caso, si è rivelato drammaticamente insufficiente. L'eventuale class-action potrebbe creare un precedente significativo, ridefinendo i confini della responsabilità delle piattaforme di distribuzione software nel settore delle criptovalute.

Pubblicato il: 15 aprile 2026 alle ore 15:13

Domande frequenti

Come è riuscita l'app falsa di Ledger Live a superare i controlli dell'App Store?

L'app fraudolenta ha replicato l'interfaccia dell'originale e si è presentata con un account sviluppatore non riconducibile a Ledger SAS. Nonostante questo, è riuscita a superare il processo di revisione di Apple, evidenziando una falla nei controlli dell'App Store.

In che modo gli utenti sono stati truffati tramite l'app clonata?

L'app induceva gli utenti, attraverso tecniche di ingegneria sociale e messaggi allarmistici, a inserire la propria seed phrase. Una volta ottenuta questa sequenza, i truffatori potevano accedere e svuotare i portafogli di criptovalute delle vittime.

Che ruolo ha avuto l'exchange KuCoin nella dispersione dei fondi rubati?

I fondi sottratti sono stati rapidamente trasferiti e frammentati su circa 150 indirizzi collegati a KuCoin, rendendo difficile il loro tracciamento. KuCoin è già noto alle autorità per precedenti indagini su violazioni delle normative antiriciclaggio.

Quali responsabilità vengono attribuite ad Apple in questa vicenda?

Apple è criticata per aver permesso la pubblicazione dell'app fraudolenta, nonostante il suo processo di revisione rigoroso. Un gruppo di vittime sta valutando una class-action, sostenendo che la società avrebbe dovuto esercitare una maggiore diligenza vista la natura delle applicazioni e i profitti generati dalle commissioni.

Come possono gli utenti proteggersi da truffe simili in futuro?

Gli utenti dovrebbero evitare di inserire la seed phrase in app o siti web, verificare sempre lo sviluppatore prima di scaricare applicazioni e utilizzare solo canali ufficiali. Inoltre, è consigliabile conservare la seed phrase offline e diffidare di richieste urgenti o sospette.

Redazione EduNews24

Articolo creato da

Redazione EduNews24

Articoli pubblicati da parte della redazione di EduNews24.it

Articoli Correlati

ULTIMA ORA