Laut dem Blockchain-Ermittler ZachXBT nutzten die Angreifer mehrere Wallet-Adressen, um die erbeuteten Gelder über verschiedene Blockchains entgegenzunehmen, darunter Bitcoin, Ethereum, Tron, Solana und Ripple. Anschließend wurden die Beträge über mehr als 150 Einzahlungsadressen bei KuCoin gewaschen, die mit einem zentralisierten Mixing-Dienst namens „AudiA6" in Verbindung stehen. Dieser Dienst wäscht Kryptowährung gegen hohe Gebühren.
ZachXBT konnte drei einzelne Opfer ausmachen, die zwischen dem 8. und 11. April siebenstellige Summen verloren – konkret 3,23 Millionen, 2,08 Millionen und 1,95 Millionen Dollar. Auch der Musiker G. Love erklärte auf X, er habe nach dem Download der App 5,9 BTC verloren, derzeit rund 430.000 Dollar. ZachXBT verfolgte und bestätigte diesen Verlust.
Einer Diskussion auf Reddit zufolge wurde die gefälschte App unter dem Herausgebernamen „Leva Heal Limited" in den App Store eingereicht – ein Konto, das nicht zum echten Ledger-Entwicklungsteam gehört. Um Vertrauen vorzutäuschen, legten die Täter eine gefälschte Versionshistorie an: Innerhalb von nur zwei Wochen veröffentlichten sie im Abstand weniger Tage neue Hauptversionen und sprangen so von Version 1.0 auf 5.0.
Nach mehreren Nutzermeldungen hat Apple die App aus dem Store entfernt, doch zu diesem Zeitpunkt hatten 50 Nutzer bereits insgesamt 9,5 Millionen Dollar verloren. BleepingComputer bat Apple um eine Stellungnahme, erhielt jedoch bislang keine Antwort.
KuCoin, dem in der Vergangenheit Verstöße gegen Geldwäschegesetze vorgeworfen wurden und das im vergangenen Jahr in den USA zu einer Strafzahlung von 300 Millionen Dollar verurteilt wurde, teilte mit, die beteiligten Konten eingefroren zu haben. Die Plattform wies jedoch darauf hin, dass die Sperre nur bis zum 20. April gelte. Darüber hinaus könne sie nur auf offizielle Anfrage von Strafverfolgungsbehörden verlängert werden.
Wichtig ist der Hinweis, dass Ledger eine Mac-App zwar auf seiner Website anbietet, nicht aber im Apple App Store, wo lediglich eine iOS-kompatible Version verfügbar ist. Diese Verfügbarkeitslücke versuchten Angreifer bereits in der Vergangenheit auszunutzen – 2023 zielten sie sogar auf den Microsoft Store und erbeuteten Kryptowährung im Wert von 768.000 Dollar.
