Um aplicativo enganoso imitando o legítimo Ledger Live foi flagrado na Microsoft App Store, conforme revelado pelo investigador de blockchain ZachXBT. Este aplicativo ilícito, batizado de “Ledger Live Web3”, simulava a interface oficial utilizada para gerenciar as carteiras de hardware Ledger, induzindo os usuários a baixá-lo. O resultado dessa operação fraudulenta foi a perda de mais de 16 Bitcoins, o que corresponde a um prejuízo de cerca de 588 mil dólares.
A detecção desse esquema ocorreu a partir de uma publicação feita por ZachXBT em 5 de novembro numa plataforma referida como X. A partir dessa divulgação, ficou-se sabendo que o aplicativo falso já tinha feito várias vítimas, que sem suspeitar, confiaram e utilizaram o software fraudulento.
O endereço de Bitcoin associado ao golpe, identificado pelos especialistas de blockchain.com, é bc1qg05gw43elzqxqnll8vs8x47ukkhudwyncxy64q. Esse endereço acumulou o montante desviado dos usuários em 38 transações distintas. As investigações apontam que a primeira quantia chegou à carteira em 24 de outubro, no valor de 5.210 dólares, e, desde então, a atividade no endereço se intensificou, incluindo um repasse de 81.200 dólares no dia 4 de novembro.
Foram identificadas ainda duas grandes retiradas dessa mesma carteira, somando cerca de 115.200 dólares. Após essas movimentações, a carteira em questão apresentava um saldo de 473.800 dólares, equivalentes a 13,5 Bitcoins.
A presença do falso Ledger Live foi notada inicialmente na loja de aplicativos da Microsoft em outubro. Com a constatação do prejuízo aos usuários, a empresa de tecnologia eliminou o aplicativo da sua plataforma, ação esta que foi posteriormente comunicada pelo próprio ZachXBT através de uma mensagem em rede social.
Antes deste evento, houve outros momentos em que a versão falsificada do aplicativo Ledger Live apareceu na loja da Microsoft, especificamente em dezembro de 2022 e março de 2023. Em uma postagem de 26 de dezembro na plataforma X, a equipe de suporte da Ledger alertou sobre a segurança do download do aplicativo, instruindo que o procedimento deveria ser feito exclusivamente através do site oficial.
Além disso, eles ressaltaram a importância de nunca compartilhar a frase de segurança de 24 palavras, algo que a empresa nunca solicitaria.
