App do iOS conseguiu enganar todos e roubar 1,6 milhões de dólares em bitcoins
A febre das criptomoedas parece estar a ganhar um novo fôlego nos últimos meses. Com valores cada vez mais elevados, os investidores recuperam o interesse no mercado e a postar novamente nestas moedas virtuais.
Infelizmente, tal como acontece noutras áreas, os criminosos voltam a tentar enganar os utilizadores nestas alturas. O mais recente golpe roubou 1,6 milhões dólares, tudo numa simples app para o iOS que nem deveria estar na App Store.
App do iOS roubava bitcoins
Foi o utilizador Phillipe Christodoulou que deu o alerta para este novo esquema que visa os utilizadores o iPhone. Foi através da app Trezor que esta vítima viu desaparecer da sua conta 17,1 BTC, o que equivale a mais de 600 mil dólares.
Esta seria supostamente uma app criada pela conhecida fabricante de carteiras de hardware para criptomoedas. A verdade é que é apenas uma app falsa, que a Apple terá aprovado para a sua loja, ponto que Christodoulou usa agora para exigir atenção maior da fabricante do iPhone.
A warning to all the Android users owning Trezor devices.
This app is a scam and has no relation to SatoshiLabs and Trezor. We've already reported it to the Google team.
Always confirm any action on your device and never type seed words until your Trezor asks you to. pic.twitter.com/xocUtMz6LR
— Trezor (@Trezor) December 2, 2020
Problema que não é só da Apple
Este, na verdade, não é um ponto recente e já algum tempo que a Trezor vem a alertar os seus utilizadores. A empresa não tem nenhuma app disponível para dispositivos móveis e os utilizadores devem ser cautelosos nas apps que usam.
Neste caso, reportado por Christodoulou, a ideia era apenas verificar o saldo da sua carteira digital. A colocar os dados de acesso na app, os seus bitcoins foram imediatamente transferidos para outra carteira, perdendo assim o controlo.
Vítima culpa a Apple pelo sucedido
Curiosamente, esta vítima parece estar mais zangada com a Apple do que com os atacantes que lhe roubaram os bitcoins. Não entende como foi possível à loja que é considerada uma das mais seguras ter aprovado uma app destas, com código que roubava os utilizadores.
Infelizmente, e do que é reportado, este não foi o único visado neste ataque realizado pela app do iOS. Outros utilizadores caíram no mesmo esquema e terão perdido mais de 1,6 milhões de dólares em bitcoins.
Este artigo tem mais de um ano
Claramente que a Apple falhou, mas o utilizador também falhou porque a lógica da trezor é não colocar online mas sim numa carteira off-line.
Por outro lado é a prova que não existe stores seguras!
A Apple é que vai andar a verificar o que a empresa faz com os bitcoin?! Se fosse a app dum banco, o director fizesse um desfalque e limpasse tudo, a culpa era da Apple ou Google que o banco fizesse isso? Lolol essa é que era boa…
A Apple ou Google têm zero culpa se a app não tem vírus ou não acede a outras apps para roubar informação; se a empresa que fez a app não era fidedigna e ele foi nisso (ao ponto de ser tanso e meter 600 mil euros numa app que não era mundialmente conhecida, então… quem anda à chuva molha se).
A Apple valida as apps e interroga determinados comportamentos das apps. Isto acontece. E isto traz mais segurança. Agora se esta passou, alguém terá de responder porquê. Se nos parâmetros de avaliação não detetaram mal nenhum na app em termos de código e da forma como esta opera, aí é outra coisa. Agora claro que não invalida que eu instale uma qualquer app com zero código malicioso e que me aceda a conteúdo que eu autorizo (fotos por exemplo) e depois use em proveito próprio (como foi o caso desta dos bitcoins). E aí a Apple não pode ser acusada de nada. Neste caso, não sendo explicito o que vai ser feito, não me parece que a Apple tenha qualquer culpa no cartório. Sinceramente as pessoas é que deviam de tentar perceber bem as coisas antes de instalarem apps à maluco.
A Apple falhou na verificação/validação da informação no qual esta app dizia pertencer a empresa Trezor.
Mesma coisa que a Apple de um momento para o outro deixasse colocar uma APP com o nome Montepio e logo Montepio!
Mas tu leste a noticia?!
Estamos a falar duma app numa loja de confiança.. que raio tem a ver “A Apple é que vai andar a verificar o que a empresa faz com os bitcoin?! ”
A Apple tem que verificar a integridade das apps não de bitcoins!
…
Meeeeehhh
A Apple COBRAVA 63% das primeiras 1000 vendas, para verificar que as apps são seguras. 99,9999999999% dos compradores Apple pagam 300 a 800 euros, em cada telemóvel ou computador, para terem essa defesa “a 100%”, como anunciam os sites e como você defende.
Estás a misturar tudo, uma coisa não tem nada a ver com a outra. A loja da Apple é efetivamente a mais segura e mais metódica, mas nada neste mundo está a salvo dos esquemas e fraudes. O que acontece é que no Android é uma coisa normal, no iOS é uma coisa rara e que a Apple tende a apertar mais o cerco (e muito bem). Neste caso foi começa de cebolada. Mas não antes da Google já o ter sido, atenção, dado que o esquema já estava montado no Android 😉 Depois foi um utilizador que, estranhamente, tendo tanto dinheiro em bitcoins, não seguia a empresa Trezor no Twitter, sendo uma ponto chave no seu negócio das criptomoedas. Isso sim é estranho. Então o tipo tem na Trezor Hardware Wallet cerca de 600 mil euros em criptomoedas e não sabe que no site da empresa nunca teve qualquer app para gerir a carteira?
Então sendo nesta altura uma altura de grande movimentação de informações relativas às criptomoedas o tipo não segue a empresa no Twitter? Sim, que se seguisse sabia que a 2 de dezembro de 2020 a empresa já havia avisado que andava no Android um esquema destes. Estranho… muito estranho.
pobreza de sistema operativo, mesmo que apenas dedicado a um unico smartphone, tem falhas de seguranca tao graves
Quero ver agora a Apple indemnizar os seus clientes… Vou buscar uma cadeira e esperar sentado.
E como esta existem muitas outras na App Store.
Quais outras? 🙂 se a Apple tivesse de indemnizar os clientes porque uma app, usada e descarregada pelos utilizadores, a Google já não existia, dado o nível de malware na Play Store 😀
Agora, é importante e como a Apple faz sempre, ir atrás do problema para o resolver e cada vez fechar mais a Store a este tipo de esquemas. São raros no iOS, e cada vez ficarão mais raros com a nova imposição do iOS 14.
Não são assim tão raros, a diferença é que a empresa cala quem reclama.
Ainda há poucos dias era um “clone” do Angry Birds, que esteve disponível e foi instalado em mais de 100000 aparelhos, que roubava os acessos ás redes sociais. Quem descarregou a app, recebeu 21 dólares e o aviso para alterar todas as pass das redes sociais. Ninguém sabe se a app funcionou assim, nos 3 meses que esteve disponível, ou se terá sido só no último update.
São raríssimas mesmo. Quando comparado com o malware em Android então é algo insignificante. A Apple tem um sistema de controlo muito mais apertado que a Google, além de não permitir outros caminhos para beneficiar o malware, como é o caso no Android com a entrada de apps sem passar pela loja. Só por aqui é fácil perceber.
Ainda recentemente existiam 8 aplicações Android que tinham como missão roubar os acessos aos serviços bancários. Rara é a semana que não aparecem.
Algo muito importante nesta area… O malware e afins sabem-se que existe quando alguem os deteta… Naturalmente que ha malware na Apple Store, tal como na Play Store… A diferença é a velocidade em com que se deteta esse problema, e o Vitor sabe que a maioria dos problema desse tipo nos sistemas da Apple, costumam todos ter em comum a palavra ”meses” ou ”anos” ou seja sao falhas e sao apps que estao meses ou anos a ser explorados ate que alguma empresa ou expert descubra, e enquanto isso milhoes sao lesados. No Android, dado o escrutinio que leva de milhares de entusiastas da segurança e de empresas de segurança, detetam-se muito mais rapido e isso dá a sensação que há muito muito mais. Na verdade descobre-se é muito mais no Android o que é bom, porque cada noticia deste tipo é sinal que mais um caso foi descoberto e resolvido. O problema é quando existem e nao sao descobertos, e infelizmente ha gente que acha que por nao se descobrir é sinal que nao existe.
Não é bem assim. Até porque o malware tende a ter uma assinatura que é prontamente detetada. Ainda recentemente a Apple removeu 6.500 apps de “recursos ocultos e não documentados”. A questão aqui é mesmo este tipo de fraudes serem preparadas no Android, pela facilidade de entrar, de propagar e criar vítimas, posteriormente, com a experiência do Android, afinam o esquema para ludibriar a análise de apps na Apple Store. Que foi o que aconteceu aqui.
Este esquema já existia na Play Store deste ano passado, conforme o tweet da Trezor. No entanto, a app que viria a ser renomeada para Trezor, só aparece na app store no final de janeiro de 2021. Isto é, a app falsa foi inicialmente apresentada na categoria “criptografia” e preenchia todos os requisitos que a Apple obrigava. Posteriormente, já com o esquema afinado e a funcionar no Android, como também vem a Trezor alertar em janeiro https://twitter.com/Trezor/status/1351123945911705602 os criminosos mudaram a sua app na App Store para uma app com ações como carteira de criptomoedas. Ora aqui e que deveriam ter tocado os alarmes na Apple e não aconteceu. Mas atenção, nesta altura já a app maliciosa para Android roubava milhares de acessos das pessoas.
Aliás, a Apple ataca o problema, mas a app ainda continuou ativa na Play Store, como a Trezor também alertou https://twitter.com/Trezor/status/1376479975952547847 no passado dia 29 de março de 2021. 😉
Portanto, não tem a ver só com o que disseste, aliás, é uma ideia completamente errada, mas sim com um esquema bem mais complexo. Portanto, a Apple falhou mas atuou rápido, já o mesmo não se pode dizer da Google que deixa este tipo de malware fazer escola dentro da sua loja.
Comparar alhos com bugalhos fanboy… Então a loja mais segura deixa circular uma app que já estava referenciada no Android! Quando uma das mais valias da Apple é precisamente a segurança que cobram bem, não se devia atirar a culpa para os utilizadores que confiaram naquilo que lhe venderam. Aliás basta ver comentários antigos em que a Apple é sempre colocada nos píncaros por inspeccionar todo o código quer vai para a loja.
És um bocado lento a perceber, nota-se bem. Além disso, não leste o que escrevi ou não percebeste, o que pode ser normal. A app quando iniciou não era a mesma que acabou, ela foi aprovada para uma coisa, nada a ver com o que já estava a fazer no Android e depois mudou para em pouco tempo se tornar igual. Doutra forma nunca tinha conseguido entrar, como entrou no Android ano passado.
Ora a Apple falhou claramente ao permitir que a alteração fosse feita sem validar que o nome da app iria ser usado por uma entidade que de facto não tinha nada a ver com carteira de criptomoedas, mas sim que era uma empresa registada para criptografia e houve forma de enganar a máquina. No Android já lá andava desde ano passado.
Estranho é já achares normal o malware no Android. Isso já quer dizer muito em relação à qualidade do serviço e a exigência do utilizador.
Posso ser lento e não perceber e tal… Como quiseres… No entanto não respondeste ao óbvio, submeto uma app para aprovação e depois carrego uma completamente diferente numa atualização… sim o burro sou eu.
Se continuares a não ler, sim esse és tu sim. Não foi assim que a coisa aconteceu. Antes de insistires vai ler.
Uma história lamentável, muito triste. Espero que ao menos siga para aprendermos algo.
Mas…mas…apple é seguro…não tem falhas….só acontece aos outros…
Alguém vai comentar o facto de esta app também existir para Android ou vai tudo assobiar para o lado.
Abc
Jorge Carvalho
Sim, mas no Android é normal, já na Apple não, e de facto a empresa tem de estar mais em cima destes esquemas.
No Android é tão normal como no iOS, apenas quem quer fechar os olhos é que acha que é pior no Android. Há muito que aqueles que sabem andam a invadir a App Store com malware.
Essa tua constatação é completamente errada. Se tanto andam com a chapa ao peito do “Android é mais aberto” para umas coisas, segurem na chapa para outras (esta abertura tem coisas boas, mas traz coisas más). Como no Android é tudo menos controlado e com formas “legais” de usar apps sem passar pela mão da Google, é um sistema operativo mais propenso a malware e tem tido muito.
“A empresa não tem nenhuma app disponível para dispositivos móveis”
A sério? Custa tanto assim desenvolver uma app para Android e outra para IOS? E ainda falam da Ledger que deixou escapar as moradas e contactos dos clientes. A Apple ficou muito mal na fotografia, muito mal mesmo. Esperava-se mais de uma das maiores empresas do mundo e que vende aparelhos a 1000€
De facto é estranho uma empresa como a Trezor não ter aplicações para dispositivos móveis. E mais, a empresa já em janeiro havia publicado um aviso para os utilizadores de Android que tinham já descarregado mil vezes uma app falsa na Google Play Store. Entretanto, a app Trezor falsa foi inicialmente apresentada na categoria “criptografia” – como uma solução para criptografar ficheiros do iPhone e armazenar passwords – antes de ser transformada pelos programadores num aplicação de carteira de criptomoedas. Ora aqui foi onde a Apple falhou, porque não investigou a fundo esta “transformação”, mais ainda já havendo por parte da Trezor um alerta de phishing em seu nome no Android. O golpe foi uma combinação de cenários hipoteticamente fidedignos com o sistema da Apple a ser benevolente.
Cuidado com os iPhones recondicionados…No meu ver é o que vai matar a Apple a médio prazo…
Esquemas fraudulentos existem em todos os sistemas, as bitcoins é que andavam a solta, que culpa tem a apple, sera que nao foi algo montado, eu so descarrego aplicaçoes que me sao uteis, negociar bitcoins com telefones que o façam com computador, abençoado ladrao roubem todas as cripto moedas para ver se essa porcaria para de uma vez por todas, querem lavar dinheiro, gostam do virtual, eu prefiro dinheiro real.
Viva a app store mais segura do mundo, viva ao sistema operativo mais seguro do mundo.
Tudo é espetacular até se lembrarem de o invadir. Depois faltam anticorpos.. Coisa que android é Windows já tem a muito tempo.
E como o covid, tomaste vacina não apanhas, não tomaste apanhas.
A Apple não tomou a vacina e nem quer tomar.. O status não o permite.
Apple que é isso? Maçãs podres..