Dit artikel is bijgewerkt met commentaar van een woordvoerder van Ledger.
Een Braziliaanse beveiligingsonderzoeker heeft een geavanceerde operatie met nagemaakte Ledger-apparaten blootgelegd, nadat hij gemodificeerde hardware ontdekte die ontworpen is om cryptocurrency van nietsvermoedende gebruikers af te troggelen.
De beveiligingsonderzoeker, online bekend als “Past_Computer2901,” deelde zijn bevindingen op Reddit na de aankoop van wat een standaard Ledger Nano S Plus leek te zijn van een Chinese marktplaats.
Ondanks dat de verpakking en de prijs overeenkwamen met de officiële retailnormen, slaagde het apparaat niet voor een “Echtheidscontrole” toen het werd aangesloten op de authentieke Ledger Live desktopapplicatie.
Deze rode vlag leidde tot een fysieke demontage van het apparaat, waaruit bleek dat de interne circuits waren gewijzigd om wifi- en Bluetooth-antennes te bevatten – functies die volledig afwezig zijn in het legitieme model.
Oplichters gebruiken deze gemanipuleerde apparaten om beginnende kopers te misleiden via een bedrieglijk installatieproces.
Een QR-code in de verpakking leidt gebruikers naar een frauduleuze versie van de Ledger Live-app, die geprogrammeerd is om beveiligingswaarschuwingen te omzeilen en een valse verificatie van de authenticiteit van de hardware uit te voeren.
Zodra een gebruiker de instructies volgt om een seed phrase te genereren of in te voeren, legt de gecompromitteerde firmware de gegevens vast, waardoor de aanvallers de wallet naar believen kunnen leeghalen.
“Dit is niet bedoeld om paniek te zaaien, maar dient eerder als een serieuze waarschuwing — ik ben eerlijk gezegd nog steeds een beetje geschokt door de omvang van deze operatie,” merkte de onderzoeker op.
Interne analyse van het apparaat toonde aan dat de oplichters er alles aan deden om de fraude te verbergen, inclusief het afschrapen van originele chipmarkeringen.
Namaak Ledger-apparaat. Bron: Reddit.
Hoewel het apparaat zichzelf in de opstartfase aanvankelijk identificeerde als een Nano S Plus 7704, onthulde de uiteindelijke sequentie de fabrikant als Espressif Systems, een in Shanghai gevestigd halfgeleiderbedrijf.
Deze modificaties ondermijnen fundamenteel de beveiligingsgedachte van Ledger-producten, die zijn gebouwd om private sleutels in een strikt offline omgeving te bewaren.
“Bij aankoop op een marktplaats moedigt Ledger gebruikers ten zeerste aan om de identiteit van de verkoper te verifiëren. Gebruikers moeten ervoor zorgen dat ze alleen de officiële Ledger Wallet-apps downloaden op desktop en mobiel. De situatie betrof nagemaakte hardware, gekoppeld aan een nep-companion-app-flow die is ontworpen om het onboardingproces te simuleren, verspreid via onofficiële kanalen,” vertelde een woordvoerder van Ledger aan crypto.news.
“Ledger zal gebruikers nooit om hun 24 woorden vragen. Als iemand die beweert Ledger te zijn, of een app die zich voordoet als een Ledger-app, om uw 24 woorden vraagt, moet u er onmiddellijk van uitgaan dat het oplichterij is,” voegden ze eraan toe.
De ontdekking volgt op een afzonderlijk incident eerder deze maand, waarbij een frauduleuze app de beveiliging van de Apple App Store omzeilde via een ‘bait-and-switch’-tactiek. De kwaadaardige software misleidde met succes meer dan 50 mensen om hun herstelzinnen prijs te geven, wat resulteerde in de diefstal van $9,5 miljoen voordat het platform de vermelding verwijderde. De app is sindsdien verwijderd vanwege kwaadaardige ‘bait-and-switch’-functionaliteit, aldus Apple.
“Blijf veilig. Download Ledger Live alleen van ledger.com. Koop hardware alleen via ledger.com. Als uw apparaat de Echtheidscontrole niet doorstaat – stop dan onmiddellijk met het gebruik ervan,” waarschuwde de onderzoeker.
