Trong một vụ vi phạm bảo mật gây sốc, công ty CNTT Check Point Research đã phát hiện ra một công cụ rút tiền điện tử tinh vi đã ẩn mình trên Google Play Store trong hơn năm tháng, đánh cắp hơn 70.000 đô la từ những người dùng không hề hay biết. Sau đây là cách sự việc này xảy ra và lý do tại sao nó lại là lời cảnh tỉnh lớn đối với người dùng tiền điện tử trên thiết bị di động.

Mối đe dọa trá hình

Ứng dụng độc hại này được đóng giả là WalletConnect, một giao thức hợp pháp và được sử dụng rộng rãi trong không gian tiền điện tử, liên kết ví với các ứng dụng tài chính phi tập trung (DeFi). Nó thậm chí còn trốn tránh được việc phát hiện bằng cách sử dụng các kỹ thuật trốn tránh tiên tiến—đánh dấu trường hợp đầu tiên của những kẻ rút tiền nhắm mục tiêu cụ thể vào người dùng thiết bị di động.

Chuyện xảy ra thế nào:

Đánh giá giả và thương hiệu đã giúp ứng dụng này leo lên thứ hạng cao trên Google Play, đạt được hơn 10.000 lượt tải xuống.

Trong khi một số người dùng không bị ảnh hưởng (những người không kết nối ví hoặc phát hiện ra vụ lừa đảo), hơn 150 nạn nhân đã mất khoảng 70.000 đô la tài sản.

Những kẻ tấn công đã sử dụng một loạt các tính năng giả mạo và các đánh giá không liên quan để xây dựng lòng tin và đánh lạc hướng người dùng.

Ứng dụng này, lần đầu tiên xuất hiện vào ngày 21 tháng 3 dưới cái tên vô hại “Mestox Calculator”, đã trải qua nhiều lần đổi tên để tránh bị phát hiện. Trong khi đó, URL của nó vẫn tiếp tục trỏ đến một máy tính vô hại, giúp nó vượt qua cả các lần kiểm tra tự động và thủ công của Google Play.

Những chiến thuật gian xảo:

Ứng dụng độc hại bí mật nhắm mục tiêu vào người dùng dựa trên vị trí IP và loại thiết bị của họ. Nếu người dùng phù hợp với tiêu chí của kẻ tấn công, họ sẽ được chuyển hướng đến một phần cuối chứa phần mềm rút tiền trong ví được gọi là MS Drainer.

Sau đây là cách trò lừa đảo này diễn ra:

1. Ứng dụng WalletConnect giả mạo yêu cầu người dùng kết nối ví tiền điện tử của họ, bắt chước hành vi hợp pháp.

2. Sau đó, người dùng được nhắc chấp nhận quyền "xác minh ví của họ", trên thực tế, điều này trao cho kẻ lừa đảo quyền chuyển số lượng tài sản tối đa.

3. Ứng dụng sẽ quét ví của nạn nhân và rút những mã thông báo có giá trị nhất trước.

Một cấp độ tinh vi mới

Điểm khác biệt của cuộc tấn công này là tính phức tạp của nó. Nó không dựa vào các chiến thuật phổ biến như keylogging hoặc quyền đáng ngờ. Thay vào đó, nó tận dụng các hợp đồng thông minh và liên kết sâu để âm thầm rút tiền của người dùng sau khi họ bị lừa kết nối ví của mình.

“Sự cố này cho thấy sự tinh vi ngày càng tăng của tội phạm mạng”, Check Point Research lưu ý. “Người dùng phải cảnh giác, ngay cả khi các ứng dụng có vẻ hợp pháp”. Họ cũng kêu gọi các cửa hàng ứng dụng cải thiện việc kiểm tra bảo mật để ngăn chặn các vi phạm tương tự trong tương lai.

Món ăn mang về

Sự kiện này là lời nhắc nhở nghiêm túc rằng ngay cả những ứng dụng có vẻ vô hại trên các nền tảng đáng tin cậy như Google Play cũng có thể gây ra rủi ro nghiêm trọng. Đối với người dùng tiền điện tử, mọi tương tác, dù nhỏ đến đâu, cũng có thể gây ra hậu quả tàn khốc nếu bạn không cẩn thận.

Bài học chính: Luôn kiểm tra kỹ tính xác thực của bất kỳ ứng dụng liên quan đến tiền điện tử nào và hãy thận trọng khi cấp quyền hoặc liên kết ví của bạn.

Ứng dụng WalletConnect giả mạo hiện đã bị xóa, nhưng thiệt hại này nhấn mạnh nhu cầu giáo dục liên tục về những rủi ro trong thế giới công nghệ Web3 đang phát triển.

Hãy luôn an toàn và cảnh giác với các ứng dụng đáng ngờ! 👀

#BảoMật ...