就在CoinDesk报道假Ledger App已经从App Store用户那里骗走几百万美元的同时,TechCrunch也揭露了另一款专门收集用户敏感信息的App。今天苹果把这两款App都下架了,以下是具体情况。
假Ledger App至少偷走了50名用户的资金
据CoinDesk报道,从4月7日到4月13日,至少有50名用户在下载了一款名叫Ledger Live的恶意App后,自己的比特币、以太坊、Solana、Tron和XRP资产被盗。
其中损失最惨重的三位用户分别在不同日子被偷走七位数金额:4月9日被盗323万美元USDT,4月11日被盗208万美元USDC,4月8日则被一次性转走195万美元的BTC、ETH和stETH。
报道称,这些被盗资金最终流向了与Audi A6相关的KuCoin充值地址,而Audi A6是一个以高手续费闻名的中心化加密混币服务,专门用来模糊非法资金流向。
CoinDesk表示,苹果已经把这款App从App Store移除,但没有回应他们的置评请求。KuCoin同样没有回应,这家公司此前就因为涉及洗钱问题吃过官司。
目前还不清楚这款假Ledger Live是怎么通过苹果审核的,也不知道为什么在4月7日之后陆续有用户报案被盗时,苹果没有及时采取行动。
CoinDesk的报道提到,区块链调查员ZachXBT认为,这次事件很可能成为集体诉讼的依据。
App Store审核又过得不太平
假Ledger Live事件并不是今天唯一让App Store审核机制受到质疑的案例。
据TechCrunch报道,苹果还下架了一款名叫Freecash的数据收集App。这款App过去几个月迅速冲上排行榜,看起来是靠“骗”用户下载才做起来的。
报道指出,Freecash在TikTok上靠“刷抖音就能赚钱”的口号大肆宣传,但实际上,用户是在用自己的敏感个人信息换取那点小奖励:
Malwarebytes的报告显示,这款App可能会收集用户的种族、宗教信仰、性生活、性取向、健康状况以及其他生物识别信息。简单来说,它就是一个数据经纪人,专门帮手游开发者找到愿意安装游戏并花钱的玩家。Freecash上推广的游戏包括Monopoly Go、Disney Solitaire等。
Malwarebytes的这份报告发布没几天,Wired也对Freecash进行了调查,对它误导性的营销方式和收集用户数据的范围表达了强烈担忧。
TechCrunch根据Appfigures和AppMagic的数据调查发现,Freecash此前由Almedia GmbH发布的早期版本已经在2024年年中被苹果下架。
几个月后,一款由塞浦路斯公司256 Rewards Ltd发布的叫“Rewards”的App改名成了Freecash,又重新冲上了排行榜。这让人怀疑Almedia是否通过另一个开发者账号绕道回到了App Store。
TechCrunch是这样写的:
Almedia通过另一个开发者账号重新进入App Store,很可能是为了规避之前被下架的禁令。这种用新账号“复活”被封App的做法虽然违规,但其实挺常见的。(Almedia的发言人拒绝就早期App被下架一事发表评论。)
《华盛顿邮报》此前报道过类似诈骗App生态,也提到了很多App会从App Store消失,然后换个开发者账号又冒出来。其他独立调查也多次记录过这种手法,据说这些诈骗App的运营商往往手里握着一堆开发者账号。
TechCrunch表示,他们在联系苹果求证的过程中,Freecash就被下架了:
TechCrunch联系苹果要求置评后,苹果在周一以违反平台规则为由移除了Freecash,理由是误导性营销。苹果向TechCrunch引用了App Store审核指南中的两条:3.1.2(a)和2.3.1,这两条明确禁止诈骗用户、使用诱导切换手法,以及以误导方式推广App。
而Almedia方面则“否认存在刷虚假流量或使用欺骗性营销手段”,并强调他们的App“完全符合苹果App Store和Google Play的政策,因为它们目前都还在线上,并且定期通过平台的审核”。
