Trust Wallet Falso na App Store: $19K Drenados em Quatro Minutos

A listagem da App Store que não era real

Agosto 2024. Um titular em São Paulo busca "Trust Wallet" na Apple App Store. O primeiro resultado tem o escudo verde do Trust Wallet, 4,8 estrelas, 8 mil avaliações. Ele instala, importa sua seed existente, e vê seus 19 mil USD em BNB e tokens BSC drenarem em quatro minutos.

A listagem era um clone com um caractere de diferença no nome do desenvolvedor — "Trust Wallet, Inc." (o real) vs. "Trust-Wallet Inc." (o clone). A Apple removeu nove dias depois.

Por que até a App Store se engana

O processo de revisão da Apple pega a maior parte da fraude, mas apps de carteira parecidos passam periodicamente. São projetados para passar na revisão (o app aparenta funcionar normalmente para o revisor) e só drenar quando o usuário importa uma seed real com saldo material. Uma vez instalado, o app sobe a seed para o servidor do operador, depois prossegue como cliente de carteira normal até o operador decidir drenar.

Os quatro passos de verificação antes de instalar um app de carteira

• Confira o nome do desenvolvedor no site oficial da carteira. Trust Wallet lista os links da App Store e Play Store direto em trustwallet.com. Clique pelo site, não o contrário.
• Veja a contagem e datas das avaliações. Um app de carteira real tem avaliações de anos atrás, num pingar constante. Um clone tem 8 mil avaliações todas dos últimos 60 dias — compradas em batch.
• Veja os outros apps do desenvolvedor. O dev real do Trust Wallet tem só Trust Wallet. Um dev clone frequentemente tem 30 utilitários aleatórios publicados sob o mesmo nome para parecer empresa real.
• Use a carteira em dispositivo novo primeiro. Gere uma seed nova, financie com 20 USD, segure por um dia. Se algo parecer estranho, você perdeu 20 USD, não 20 mil.

A regra da seed phrase

Nunca importe uma seed de alto valor para um app recém-instalado sem primeiro verificar o app por várias fontes. Uma seed phrase, uma vez digitada num app malicioso, está permanentemente comprometida — mesmo depois de desinstalar.

O que faço

Mantenho duas seeds — uma "tier 1" com dinheiro sério, nunca entra em carteira de software, só assina por hardware. Uma "tier 2" com menos de 500 USD, usada livremente para testar apps novos. As duas nunca se misturam.