في غضون أسبوع واحد فقط، خسر أكثر من خمسين شخصا ما مجموعه 9.5 مليون دولار من عملاتهم المشفرة بسبب تطبيق مزيف يحمل اسم Ledger Live تمكّن من التسلل إلى متجر Apple للتطبيقات، ليُشكّل هذا الحادث واحدة من أشد القضايا الأمنية خطورة المرتبطة بمتاجر التطبيقات في العام الجاري. وفي اليوم ذاته الذي كُشف فيه عن الاحتيال المالي، أُزيل تطبيق آخر يُدعى Freecash بعد شهور من حصاد البيانات الحساسة لملايين المستخدمين، في يوم وصفه المراقبون بأنه من أحلك أيام منظومة مراجعة متجر التطبيقات في تاريخها.
كيف تمكن التطبيق المزيف من سرقة الملايين؟
نُشر التطبيق الخبيث في متجر macOS App Store تحت اسم الناشر “Leva Heal Limited”، وهو حساب لا صلة له بفريق تطوير Ledger الحقيقي. واستغل المهاجمون ثقة المستخدمين بمنصة التوزيع لإقناعهم بإدخال عبارات الاسترداد السرية أو مفاتيح البذور الخاصة بهم، مما منح المهاجمين السيطرة التامة على محافظهم الرقمية.
ولجعل التطبيق يبدو شرعيا ذا تاريخ عريق، لجأ المهاجمون إلى حيلة ماكرة؛ إذ قاموا بنشر تحديثات رئيسية كل بضعة أيام، منتقلين بسرعة غير طبيعية من الإصدار 1.0 حتى الإصدار 5.0 في أقل من أسبوعين، مما أوحى بتطبيق ناضج وراسخ أمام المستخدمين غير المتنبهين.
تتصدر قائمة الضحايا ثلاثة أشخاص خسروا مبالغ بالملايين كل منهم على حدة، إذ سُرق 3.23 مليون دولار بعملة USDT في التاسع من أبريل، و2.08 مليون دولار بعملة USDC في الحادي عشر منه، و1.95 مليون دولار من مزيج عملات BTC وETH وstETH في الثامن منه. وكان من بين الضحايا الموسيقي الأمريكي الشهير G. Love، الذي كشف عبر منصة X أنه فقد 5.9 بيتكوين كانت تمثل كل مدخراته التي راكمها على مدار عشر سنوات.
تفاصيل مسار غسيل الأموال
وفقا للمحقق blockchain ZachXBT الذي تتبّع العمليات وكشف عنها، جرى توجيه الأموال المسروقة عبر أكثر من 150 عنوان إيداع في منصة KuCoin مرتبطة بخدمة مزج العملات المشفرة AudiA6، المعروفة بفرضها رسوما باهظة لإخفاء مسارات الأموال غير المشروعة.
وقد حظيت KuCoin بتدقيق مضاعف في هذا الصدد، إذ كانت أصلا تحت وطأة ضغوط تنظيمية متصاعدة؛ ففي يناير 2025 دفعت للسلطات الأمريكية ما يزيد على 300 مليون دولار لتسوية انتهاكات قوانين مكافحة غسيل الأموال، فيما حظرت جهات الرقابة النمساوية عليها في فبراير 2026 قبول عملاء جدد من دول الاتحاد الأوروبي.
وبعد الكشف العلني عن الاحتيال، أعلنت KuCoin تجميد الحسابات المشاركة في العمليات، وإن كانت المهلة المحددة للتجميد تنتهي في العشرين من أبريل، ما يعني أن حالة من الغموض تسود مصير هذه الأموال في غياب تدخل قضائي فوري.
لماذا تعذّر على Apple اكتشاف التطبيق؟
ثمة نقطة جوهرية تكشف عن ثغرة في منظومة الأمان؛ فـLedger تُوزّع تطبيقها الرسمي لنظام macOS حصريا عبر موقعها الإلكتروني، ولا يتوفر في Mac App Store نسخة رسمية منه، مما يجعل وجود نسخة بهذا الاسم في المتجر بالأصل مثار شك وتساؤل ينبغي أن يرصده نظام المراجعة.
وأشار ZachXBT إلى احتمال تعرض Apple في المستقبل لدعوى قضائية جماعية نظرا لحجم المبالغ المسروقة. في المقابل، ردّت Apple بالتأكيد على أنها أزالت التطبيق لاحتوائه على وظائف خادعة تنتهك المادة 3.1.2(a) من إرشادات مراجعة التطبيقات، وأنها أنهت حساب المطوّر.
Freecash.. تطبيق تصدّر المراكز الأولى بينما يسرق بياناتك
لم يكن تطبيق Ledger المزيف الحادث الوحيد في ذلك الأسبوع على متجر Apple. بلغ تطبيق Freecash المركز الثاني في قوائم أكثر التطبيقات تنزيلا في الولايات المتحدة في يناير 2026، بعد أن سوّق نفسه بقوة على تيك توك واعدا المستخدمين بكسب ما يصل إلى 35 دولارا في الساعة مقابل مشاهدة المحتوى، في حين كان يجمع كميات ضخمة من بيانات المستخدمين.
رصدت شركة الأمن السيبراني Malwarebytes أن التطبيق كان يجمع معلومات عن العرق والدين والحياة الجنسية والتوجه الجنسي والصحة وبيانات المقاييس الحيوية، مؤكدةً أنه في جوهره وسيط بيانات يسعى لمطابقة مطوري الألعاب مع مستخدمين مستعدين لتثبيت التطبيقات وإنفاق المال فيها.
عوضا عن الوعود الرنّانة، كانت مهام Freecash الفعلية مبنية على تنزيل ألعاب جوال والاستمرار فيها لفترات مُحددة، مع حوافز مالية زهيدة؛ فعلى سبيل المثال كان تحدي Monopoly Go يعطي سنتا واحدا مقابل دقيقتين يوميا، فيما كان مكافأة 123 دولارا تستلزم الوصول إلى المستوى 300 في أقل من ثلاثة أشهر.
كشف تحقيق TechCrunch أن تطبيقا بالوظائف ذاتها كان قد أُزيل من متجر Apple في عام 2024، ليعود لاحقا تحت اسم مختلف ومطوّر آخر، مما يُثير تساؤلات جدية حول فاعلية الآليات التي تعتمدها Apple لمنع المطورين المحظورين من العودة.
بقي Freecash في المتجر حتى بعد تقارير Wired والضجة الإعلامية التي أثارتها، ولم تُقدم Apple على إزالته إلا بعد أن تواصل موقع TechCrunch معها طالبا التعليق. أما على منصة Google Play، فقد أزالت Google التطبيق في الخامس عشر من أبريل 2026 عقب إجراء تحقيق في الأمر.
