Apple führt den App Store stets als das Paradebeispiel für Sicherheit und Datenschutz an – der sogenannte „Walled Garden“, der Nutzer vor den Gefahren des offenen Internets schützt. Doch der 14. April 2026 wird als schwarzer Tag in die Annalen der App-Store-Geschichte eingehen. An einem einzigen Tag musste Apple nicht nur eine Fake-Krypto-App entfernen, die Anlegern Millionen raubte, sondern auch ein Daten-Sauger-App, das intimste Nutzerinformationen harvestete. Beide Vorfälle offenbaren eklatante Schwächen im App-Review-Prozess.
Millionenverluste durch „Ledger Live“ Fake-App
Wie CoinDesk berichtete, schaffte es eine bösartige App namens „Ledger Live“ durch den App-Review-Prozess von Apple. Wer Krypto kennt, weiß: Ledger ist ein führender Hersteller von Hardware-Wallets, und die dazugehörige App wird genutzt, um diese zu verwalten. Genau dieses Vertrauen machte sich die Fake-App zunutze.
Zwischen dem 7. und 13. April wurde mindestens 50 Nutzern das Krypto-Vermögen (Bitcoin, Ethereum, Solana, Tron und XRP) entwendet. Die Dimensionen sind erschreckend: Allein die drei größten Verlierer verloren siebenstellige Summen. Am 9. April wurden 3,23 Millionen US-Dollar in USDT gestohlen, am 11. April folgten 2,08 Millionen US-Dollar in USDC und am 8. April verlor ein Opfer 1,95 Millionen US-Dollar in BTC, ETH und stETH.
Die gestohlenen Gelder wurden laut CoinDesk zu KuCoin-Einzahlungsadressen verfolgt, die mit „Audi A6“ in Verbindung stehen – einem zentralisierten Crypto-Mixing-Service, der für hohe Gebühren bekannt ist, um illegale Geldflüsse zu verschleiern.
Bleiben zwei brennende Fragen: Wie konnte eine solch offensichtliche Fake-App den Review-Prozess passieren? Und warum reagierte Apple nicht, als nach dem 7. April die ersten Betrugsberichte aufkamen? Apple entfernte die App zwar letztendlich, schwieg aber zu den Vorfällen. Blockchain-Ermittler ZachXBT deutet bereits an, dass dieser Vorfall die Grundlage für eine Class-Action-Klage bilden könnte.
Freecash: Datenhandel unter dem Deckmantel des Nebenverdienstes
Während der Krypto-Betrug direkt finanzielle Schäden anrichtete, griff eine zweite App unsichtbar die Privatsphäre der Nutzer an. Wie TechCrunch aufdeckte, wurde die App „Freecash“ aus dem App Store entfernt. Die App war in den Monaten zuvor durch TikTok-Viralität in den Charts aufgestiegen, mit dem Versprechen: „Geld verdienen, einfach durchs TikTok-Scrollen.“
Die Realität sah anders aus. Nutzer handelten im Grunde ihre sensibelsten persönlichen Daten für kleine Belohnungen ein. Ein Bericht von Malwarebytes zeigt, dass die App Informationen über Rasse, Religion, Sexualleben, sexuelle Orientierung, Gesundheitsdaten und andere Biometrien sammelte. Im Kern fungierte Freecash als Data Broker, der Nutzer mit Spielentwicklern verband, die für Installationen und Ausgaben in Mobile Games (wie Monopoly Go oder Disney Solitaire) zahlen wollten.
Besonders brisant ist die Vorgeschichte: Untersuchungen von Appfigures und AppMagic ergaben, dass eine frühere Version der App, veröffentlicht von der Almedia GmbH, Mitte 2024 aus dem App Store entfernt wurde. Monate später tauchte eine bestehende App namens „Rewards“ des zyprischen Unternehmens 256 Rewards Ltd auf, wurde in „Freecash“ umgewandelt und kletterte in die Top-Charts.
Dieses Vorgehen – der Kauf eines bestehenden Entwicklerkontos zur Umgehung einer Sperre – ist ein bekannter, aber regelwidriger Trick im App-Store-Ökosystem. Wie die Washington Post bereits in einem Bericht über das Scam-App-Ökosystem anmerkte, nutzen Betrüger oft ganze Portfolios an Entwicklerkonten, um nach einer Löschung direkt unter neuem Namen wieder aufzutauchen.
Apple entfernte Freecash erst, als TechCrunch im Rahmen seiner Recherche um einen Kommentar bat. Das Unternehmen berief sich auf die Richtlinien 3.1.2(a) und 2.3.1, die irreführendes Marketing und Bait-and-Switch-Taktiken verbieten. Almedia selbst streitet ab, künstlichen Traffic erzeugt oder täuschende Marketingmethoden genutzt zu haben – die App sei „vollständig konform“ mit den Richtlinien.
Kritische Einordnung: Der Riss im Walled Garden
Beide Vorfälle sind keine isolierten Pannen, sondern Symptome eines strukturellen Problems. Der App-Review-Prozess, der von Apple als Goldstandard der Branche verteidigt wird, zeigt sich hier als reaktiv statt proaktiv. Bei Ledger Live dauerte es Tage, bis Apple trotz massiver finanzieller Schäden bei Nutzern handelte. Bei Freecash war es der investigative Journalismus, der die Löschung erzwang – nicht Apples eigene Mechanismen.
Gerade das „Account-Hopping“ im Fall Freecash offenbart eine fatale Lücke: Wenn Entwickler nach einem Ban einfach über Strohmänner oder gekaufte Accounts reinkommen, verliert die Sperre ihre abschreckende Wirkung. Apple muss dringend die Transparenz bei Unternehmensänderungen innerhalb eines App-Eintrags erhöhen.
In der aktuellen Zeit, in der Apple durch den Digital Markets Act (DMA) in Europa gezwungen wird, alternative App Stores und Sideloading zuzulassen, argumentiert das Unternehmen stets mit den Sicherheitsrisiken offenerer Systeme. Doch wenn der eigene, streng kontrollierte App Store Krypto-Scams in Millionenhöhe und biometrische Daten-Ernter nicht stoppt, verliert das Argument des „sicheren Gartens“ an Überzeugungskraft. Sicherheit ist nicht nur eine Frage der Richtlinien, sondern der tatsächlichen Durchsetzung – und genau hier hat Apple an diesem Tag massiv versagt.
Quelle: 9to5Mac
