App fake su App Store: musicista perde tutti i risparmi

L’11 aprile 2026, Garrett Dutton (in arte G. Love, frontman dei G. Love & Special Sauce) stava cercando di configurare il suo wallet Ledger hardware su un nuovo Mac.

Ha cercato “Ledger Live” sull’App Store, scaricando quella che sembrava l’app giusta, seguendo poi le istruzioni fornite dalla stessa. Quando il software gli ha chiesto di inserire la sua seed phrase da 24 parole, l’ha digitata. Fatto ciò, i suoi Bitcoin sono svaniti nel nulla quasi immediatamente.

L’investigatore ZachXBT ha tracciato i 5,92 BTC sottratti (circa 424.000 dollari) attraverso nove transazioni verso indirizzi di deposito su KuCoin. Nonostante ciò, il recupero dei fondi è considerato praticamente impossibile.

Come funziona questo tipo di attacco?

Il meccanismo è semplice e per questo efficace.

L’app usava lievi variazioni grafiche nel nome, come “LeddgerLĭve”, apparendo visivamente identica al software originale, con un’interfaccia riprodotta nei minimi dettagli.

Ledger non distribuisce la propria applicazione attraverso store di terze parti: qualsiasi app che appare sull’App Store con quel nome è fraudolenta per definizione. Eppure è lì che un utente esperto, Dutton ha dichiarato di essere nel mondo crypto dal 2017, è andato a cercarla, come avrebbe fatto chiunque.

Il punto critico non è stato un bug tecnico, ma un errore concettuale: digitare la seed phrase su un dispositivo connesso a internet annulla qualsiasi protezione offerta dall’hardware wallet. Una volta che le 24 parole escono dall’enclave sicura del dispositivo e arrivano su un computer connesso, l’attaccante non ha più bisogno di aggirare nulla.

Un problema sistemico, non un caso isolato

Come riportato da Yahoo, Apple ha rimosso silenziosamente l’app fraudolenta senza spiegare come abbia superato il processo di revisione. Non è la prima volta: nel 2023 una falsa app simile aveva già superato i controlli del Microsoft Store, sottraendo oltre 600.000 dollari alle vittime.

Secondo il rapporto FBI, le perdite legate a frodi crypto hanno raggiunto gli 11,36 miliardi di dollari nel 2025, con un aumento del 21% rispetto all’anno precedente. Il seed-phrase phishing tramite app contraffatte è una delle categorie più redditizie per i criminali, proprio perché combina la fiducia nell’ecosistema ufficiale con l’irreversibilità delle transazioni blockchain.

La regola pratica rimane una sola: scaricare il software Ledger esclusivamente dal sito ufficiale, evitando anche gli store ufficiale. Oltre a ciò, è sempre buona norma non digitare mai la seed phrase su un dispositivo connesso a internet, in nessuna circostanza. Non è una precauzione tecnica avanzata: si tratta di una pratica base che, in questo caso, avrebbe salvato un fondo pensione costruito in dieci anni.