Scarica app contraffatta e perde 600 mila dollari in bitcoin: si infuria con Apple

Un'applicazione fraudolenta ma progettata per sembrare un'applicazione autentica è stata accettata dal team di revisione App Store di Apple ed è stata usata da un utente, portando ad una perdita di 17,1 bitcoin, ovvero circa 600 mila dollari di controvalore al momento del furto. Il fattaccio è accaduto all'inizio del mese di febbraio, e i Bitcoin detenuti dall'utente avrebbero oggi un controvalore di circa 1 milione di euro.

Phillipe Christodoulou, la vittima della truffa, però è furioso con Apple, ritenendola in parte responsabile dell'accaduto dal momento che la Mela definisce il proprio App Store come un luogo "affidabile e sicuro" dove ogni applicazione viene revisionata prima di essere ammessa. In una dichiarazione rilasciata al Washington Post ha affermato che "Apple non merita di farla franca".

Il Washington Post ricostruisce la vicenda: il giorno 1 febbraio Christodoulou scarica l'app sul telefono. Egli stava cercando uno strumento che gli permettesse di monitorare tramite smartphone il saldo dei suoi Bitcoin, conservati su un cosiddetto "wallet hardware" di Trezor. I wallet hardware sono piccoli dispositivi che permettono di conservare al sicuro le chiavi private necessarie all'autorizzazione delle transazioni.

L'utente ha visto un'app con il logo del lucchetto, usato da Trezor, e uno sfondo verde: pensando di aver a che fare con l'app legittima, anche a fronte delle 5 stelline di valutazione media, l'ha scaricata ed ha inserito le sue credenziali. L'app però era falsa e realizzata in maniera ingannevole proprio per scopi delittuosi.

Un'app passa le maglie della revisione di Apple, e un utente perde 17 Bitcoin

Christodoulou si accorge rapidamente che i suoi Bitcoin sono spariti, e solo allora osserva con più attenzione i pareri degli utenti relativi all'app scaricata notando numerose lamentele e segnalazioni di truffe. Rendendosi conto dell'accaduto, contatta il servizio clienti di Apple dove l'interlocutore gli conferma che il caso sarebbe stato portato all'attenzione di un supervisore. La società Chainalysis specializzata in analisi delle transazioni su blockchain, conferma che i fondi si sono spostati dal wallet del legittimo proprietario ad un wallet sospetto .

Il Washington Post cita inoltre il caso di un altro individuo, James Fajcz, vittima di un'esperienza simile con la stessa app e che ha subito il furto di Ethereum per un controvalore di circa 14 mila dollari.

Per quanto Apple esamini ogni nuova app inviata su App Store per evitare la diffusione di applicazioni dannose, molte di queste riescono a passare le maglie del controllo utilizzando uno stratagemma tutto sommato semplice: i malintenzionati inviano un'app "civetta" con funzionalità che rispettano le linee guida di App Store, per poi venire modificata in un secondo momento una volta guadagnata l'approvazione.

Il portavoce di Apple Fred Sainz ha dichiarato al Washington Post che Apple intraprende un'azione rapida quando i criminali frodano gli utenti di iPhone:

"La fiducia degli utenti è alla base del motivo per cui abbiamo creato l '"App Store" e da allora abbiamo solo approfondito tale impegno. Studio dopo studio ha dimostrato che l '"App Store" è il mercato di app più sicuro al mondo e siamo costantemente al lavoro per mantenere tale standard e rafforzare ulteriormente le protezioni dell' "App Store". Nei casi limitati in cui i criminali frodano i nostri utenti, agiamo rapidamente contro questi attori e per prevenire violazioni simili in futuro"

La Mela ha precisato di aver eliminato lo scorso anno 6500 app per funzionalità nascoste o non documentate, ma non ha rilasciato informazioni sulla frequenza con cui queste app vengono individuate e rimosse. Attualmente Christodoulou afferma di non aver avuto ancora alcuna risposta da Apple.

Trezor, la cui sede è nella Repubblica Ceca e la proprietà è della società Satoshi Labs, non ha mai realizzato un'app mobile per nessuno dei due ecosistemi Google e Apple. Kristyna Mazankova, portavoce di Trezor, ha affermato che la società ha informato da tempo i due colossi della tecnologia dell'esistenza di app fasulle che hanno lo scopo di trarre in inganno gli utenti di Trezor facendo loro credere di aver a che fare con app legittime. Mazankova, afferma il Washington Post, definisce come "doloroso" il processo di segnalazione delle app e precisa che rappresentanti di Apple e Google non sono mai entrati in contatto con Trezor. Riguardo alla vicenda specifica Mazankova afferma che Trezor ha informato Apple della presenza di un'app fasulla il giorno 1 febbraio. Apple ha rimosso l'app il 3 febbraio, ma questa sarebbe ricomparsa ancora alcuni giorni dopo prima di essere nuovamente rimossa.

Coinfirm, una società del Regno Unito specializzata in normativa e indagini per truffe relative al mondo delle criptovalute, afferma di aver ricevuto, dall'ottobre sel 2019, oltre 7 mila richieste di aiuto riguardanti furti di crypto-asset. Secondo la società le app fasulle su App Store di Apple e Play Store di Google sono piuttosto comuni. Coinfirm dichiara che attualmente cinque persone hanno denunciato il furto di criptovalute ad opera dell'app-fake Trezor su iOS per un valore complessivo di 1,6 milioni di dollari. Vi sono state tre segnalazioni relative ad una app fasulla sempre sotto le mentite spoglie di Trezor anche su Android, per un bottino totale di 600 mila dollari.