Apple a retiré de l’App Store deux applications mises en cause le même jour, après des révélations distinctes sur une fraude visant des détenteurs de cryptoactifs et sur une collecte de données sensibles. Les informations proviennent d’enquêtes publiées par CoinDesk et TechCrunch.
Une fausse “Ledger Live” aurait drainé des fonds entre le 7 et le 13 avril
D’après CoinDesk, au moins 50 personnes auraient vu leurs avoirs en Bitcoin, Ethereum, Solana, Tron et XRP dérobés entre le 7 et le 13 avril, après la publication sur l’App Store d’une application malveillante nommée Ledger Live. Le média précise que l’app aurait franchi le processus de validation avant d’être retirée.
Le rapport cite trois victimes majeures ayant perdu des montants à sept chiffres, dont 3,23 millions de dollars en USDT (9 avril), 2,08 millions de dollars en USDC (11 avril) et 1,95 million de dollars en BTC, ETH et stETH (8 avril).
Toujours selon CoinDesk, des fonds auraient été tracés vers des adresses de dépôt KuCoin associées à Audi A6, décrit comme « a centralized crypto mixing service known for charging high fees to obfuscate illicit flows ».
CoinDesk indique qu’Apple n’a pas répondu aux demandes de commentaire. KuCoin non plus, alors que la plateforme a déjà été confrontée à des procédures liées à des accusations de violations en matière de lutte contre le blanchiment.
Les modalités exactes du passage de l’app dans la revue, ainsi que l’absence d’action immédiate après les premiers signalements à partir du 7 avril, ne sont pas détaillées. CoinDesk rapporte enfin que « the incident may form the basis for a class-action lawsuit », selon l’enquêteur blockchain ZachXBT.
Freecash retirée après des alertes sur une collecte de données et un marketing trompeur
L’affaire Ledger n’était pas isolée. TechCrunch rapporte qu’Apple a également supprimé Freecash, une application de “récompenses” accusée d’avoir grimpé rapidement dans les classements ces derniers mois grâce à un discours jugé trompeur.
Le site explique que l’app s’est popularisée sur TikTok en promettant de « make money just by scrolling TikTok », alors que le mécanisme reposait, dans les faits, sur un échange entre récompenses et données personnelles. Un rapport de Malwarebytes évoque notamment la possibilité d’une collecte d’informations relatives à la race, la religion, la vie sexuelle, l’orientation sexuelle, la santé et d’autres données biométriques, tout en décrivant l’app comme un intermédiaire de données visant à mettre en relation des éditeurs de jeux et des utilisateurs prêts à installer des applications et à y dépenser de l’argent. Parmi les jeux promus, Malwarebytes cite Monopoly Go et Disney Solitaire.
Quelques jours plus tôt, Wired avait également examiné l’application, en pointant des inquiétudes sur le marketing et l’étendue des données susceptibles d’être collectées.
Un historique de rebranding et des soupçons de contournement
Selon l’enquête de TechCrunch, basée sur des données Appfigures et AppMagic, une version antérieure de Freecash, publiée par Almedia GmbH, avait été retirée de l’App Store à la mi-2024. Des mois plus tard, une application existante nommée Rewards, publiée par 256 Rewards Ltd (Chypre), aurait été renommée Freecash et serait montée dans les classements, suscitant des questions sur un possible retour indirect via un autre compte développeur.
TechCrunch rappelle qu’un rapport du Washington Post a déjà mis en avant ce schéma dans l’écosystème des apps frauduleuses, certaines disparaissant puis réapparaissant sous un autre compte. Des enquêtes indépendantes ont également documenté cette tactique, notamment ici et ici.
Apple invoque des règles de l’App Store Review
TechCrunch indique que l’application a été retirée après que le média a sollicité Apple. La société aurait motivé la suppression par des violations liées au marketing trompeur, en renvoyant notamment vers les sections 3.1.2(a) et 2.3.1 des App Store Review Guidelines, qui encadrent les pratiques de tromperie, le “bait-and-switch” et la promotion mensongère.
TechCrunch rapporte qu’Almedia a nié avoir généré artificiellement du trafic ou utilisé des techniques de marketing trompeuses, en affirmant que ses applications étaient conformes aux politiques de l’App Store et de Google Play, et qu’elles passaient régulièrement les revues des plateformes.
