Phòng Nghiên cứu và Tình báo Bảo mật của Cyble (Cyble Research and Intelligence Labs – CRIL), có trụ sở tại Mỹ, vừa phát hiện 20 ứng dụng lừa đảo liên quan đến tiền mã hóa vẫn đang hoạt động trên Google Play Store. Các ứng dụng này ngụy trang dưới dạng ví điện tử hợp pháp như SushiSwap, PancakeSwap, Hyperliquid và một số ví phổ biến khác, với mục đích đánh cắp cụm từ ghi nhớ (mnemonic phrase) – khóa truy cập chính vào ví tiền mã hóa – từ đó chiếm đoạt toàn bộ tài sản kỹ thuật số của người dùng.
Theo CRIL, các ứng dụng độc hại nói trên không phải những trường hợp riêng lẻ, mà là một phần của chiến dịch lừa đảo có tổ chức, được xây dựng bài bản và vẫn đang diễn ra. Trong quá trình điều tra, nhóm nghiên cứu đã phát hiện hơn 50 tên miền có liên quan trực tiếp đến chiến dịch này, cho thấy sự tồn tại của một hạ tầng kỹ thuật được thiết kế nhằm vượt qua các cơ chế kiểm duyệt và phát hiện của Google Play.
Khi người dùng khởi chạy ứng dụng, một giao diện giả mạo ví điện tử hoặc trang web lừa đảo sẽ được hiển thị, yêu cầu nhập cụm từ khôi phục (seed phrase) – thông tin bảo mật cực kỳ quan trọng để truy cập ví. Chỉ cần một vài dòng ký tự, tin tặc có thể chiếm toàn quyền kiểm soát ví và rút toàn bộ tài sản số bên trong. Đáng lo ngại, một khi tài sản bị đánh cắp, người dùng hầu như không có khả năng khôi phục lại.
CRIL cảnh báo rằng, chỉ cần cụm từ ghi nhớ rơi vào tay tin tặc, toàn bộ tài sản trong ví tiền mã hóa có thể bị đánh cắp ngay lập tức. Người dùng được khuyến cáo nên chủ động kiểm tra thiết bị di động, gỡ bỏ ngay các ứng dụng đáng ngờ, đặc biệt là những ví điện tử không rõ nguồn gốc. Ngoài ra, tuyệt đối không chia sẻ cụm từ khôi phục dưới bất kỳ hình thức nào. Để tăng cường bảo mật, người dùng cũng nên kích hoạt tính năng Google Play Protect nhằm hạn chế nguy cơ bị tấn công từ các ứng dụng độc hại
Ngay sau khi phát hiện chiến dịch, CRIL đã nhanh chóng gửi báo cáo đến Google, dẫn đến việc phần lớn các ứng dụng độc hại bị gỡ khỏi Play Store. Tuy nhiên, đến thời điểm công bố, vẫn còn một số ứng dụng đang hoạt động trên nền tảng và đã tiếp tục được CRIL báo cáo để xử lý kịp thời.
Theo CRIL, các ứng dụng lừa đảo này chia sẻ nhiều đặc điểm nhận diện tương đồng, như chèn liên kết đến máy chủ điều khiển và kiểm soát (C&C) ngay trong mục chính sách quyền riêng tư, đồng thời sử dụng tên gói (package name) và phần mô tả với cấu trúc gần giống nhau. Tuy nhiên, chúng được phát hành thông qua nhiều tài khoản nhà phát triển khác nhau, khiến việc phát hiện và xử lý trên diện rộng trở nên phức tạp hơn.
Danh sách 20 ứng dụng Android mà người dùng được khuyến cáo nên xóa ngay bao gồm: Pancake Swap; Suiet Wallet; Hyperliquid; Raydium; Hyperliquid; BullX Crypto; OpenOcean Exchange; Suiet Wallet; Meteora Exchange; Raydium; SushiSwap; Raydium; SushiSwap; Hyperliquid; Suiet Wallet; BullX Crypto; Harvest Finance blog; Pancake Swap; Hyperliquid; Suiet Wallet. Đáng chú ý, tên ứng dụng có thể giống nhau, nhưng mỗi ứng dụng có package name (tên gói) khác biệt.
Nguồn: Antoanthongtinmang
