Falsa app de Ledger Live en la Microsoft App Store (ya retirada)

[DdmrDdmr]

La alerta la dio ayer un usuario en Twitter, indicando que la App store de Microsoft tenía una falsa App de Ledger Live (denominada "Ledger Live Web3"), la cual a la postre logró hacerse con 16,8 BTCs de usuarios incautos en 41 TXs desde el 24/10/2023 (aunque parece que la app llevaba allí desde cuanto menos el día 19). Es decir, que llevaba más de dos semanas activas, y lo digo en pasado porque parece que ya la han retirado de la citada store.

Para variar, parece que la app lo que hacía era, con un pretexto u otro, pedirte que le proporcionases la semilla completa, y como no, sea como sea, siempre habrá un porcentaje que por un lado bajará software de donde no toca, y por otro caerá en la habitual trampa de entregar la semilla si te la pide el software...

Ver:
https://es.cointelegraph.com/news/fake-ledger-live-app-sneaks-into-microsoft-app-store-as-victims-lose-half-a-million
https://www.reddit.com/r/cryptocurrencyhacks/comments/17n6hgu/just_lost_my_life_savings_26500_of_crypto_from_my/

[1714688170]

1714688170

[1714688170]

1714688170

[1714688170]

1714688170

[1714688170]

1714688170

[1714688170]

1714688170

[Don Pedro Dinero]

... y como no, sea como sea, siempre habrá un porcentaje que por un lado bajará software de donde no toca, y por otro caerá en la habitual trampa de entregar la semilla si te la pide el software...

Como suele ser habitual en las estafas: para que funcionen les sale rentable con que caiga en la trampa un pequeño porcentaje. Como siempre hay despistados, ingenuos y desinformados, pues siempre hay un porcentaje que acaba cayendo. Más de medio millón de pavos de premio que se han llevado los estafadores que en relación a lo que les habrá costado implementar la estafa seguro que les ha dado una rentabilidad/coste altísima.

[darbitmobilerecovery]

Creo que este tema ya lo hemos tocado en otro hilo, pero que la tienda oficial de una compañia grande se le cuelen estas cosas.... vamos.

Sacando eso leia por el norte de que igualmente uno puede chequear la autenticidad del software de ledger por la firma, asi como lo podemos hacer con electrum, pero como siempre nadie lo hizo, creo que esta vez un poco vienen por confiar en la tienda oficial...

Igual no deja de sorprenderme como la gente va y pone la semilla como si nada. Esta bien que para levantar la wallet es la forma, pero.... vamos tanta necesidad de probar o de usar en ese momento.... no se, me supera.

Como siempre digo y es una recomendación de seguridad MUY básica, no usen ni descarguen cosas nuevas recién sacadas del horno, ya sea por Bugs que los devs no notaron o por cuestiones como estas, hay que dejar que pase agua debajo del puente, mas aun si uno no es un especialista en la materia.

[DdmrDdmr]

El tema es que Ledger Live Desktop se descarga desde la página oficial (hay versión mara Windows, Mac o Unix), habiendo efectivamente información respecto de cómo verificar la firma en la siguiente página:
https://www.ledger.com/ledger-live/lld-signatures

También se puede descargar Ledger Live Mobile de las tiendas de la App Store y Google Play.


Lo cierto es que en este caso hablamos de la Microsoft Store, la cual no tiene de ninguna manera una app oficial de Ledger Live … Es cierto que no es la primera vez que sucede en esta misma store (por no citar las demás stores):

(diciembre 2012) https://twitter.com/Ledger_Support/status/1607290842649083910?lang=en
(junio 2022) https://www.reddit.com/r/ledgerwallet/comments/v84znx/warning_microsoft_store_allows_fraudulent_ledger/

Curiosidad:
Pero sí parece haber una app en la Microsoft Store para usar el dispositivo Ledger para abrir la sesión en Windows:
https://support.ledger.com/hc/en-us/articles/115005200629-Windows-Hello?docs=true

[famososMuertos]

... que lo intenten "no tiene nada de malo", los pillos, pero que +16BTC... con esas donaciones es la razón por la cual el nicho sigue siendo rentable por esa clásica phishing, la culpa esta en los "usuarios", ellos a lo suyo (pillos) y los usuarios a vencer el, "no tiene nada de malo" con practicas básicas, acompañadas de sentido común.

Si es cierto que hay cosas adicionales que se pueden hacer como verificar la firma, por cierto de cualquier cosa que te baje o instales en la PC, esa es la expectativa, la realidad es que para la mayoría las practicas básicas y sentido común, deberían ser el primer paso.

En consecuencia, estas personas, los usuarios que caen,  deberían ser enviadas a servicio comunitario, por financiar tan descaradamente a estos pillos, no se, deberían prohibirles acercarse a cualquier Tienda (store) App por meses, como a quien le suspenden la licencia de conducir.


Esto sucede, no es que puede suceder, entonces en general pero en especial para UQCP:

Falsa app
 de Ledger Live
   en la Microsoft App Store

 (ya retirada, pero regresará)