Theo cảnh báo mới nhất từ Cyble Research and Intelligence Labs (CRIL), một chiến dịch lừa đảo tinh vi đang hoành hành trên Google Play Store với 20 ứng dụng Android độc hại, giả mạo các ví tiền điện tử nổi tiếng. Tin tặc đã tận dụng các tài khoản nhà phát triển cũ – từng có uy tín và nhiều lượt tải để đăng tải các ứng dụng này lên kho chính thức, khiến người dùng lầm tưởng là phần mềm hợp pháp.

Thủ đoạn được sử dụng không quá phức tạp nhưng lại rất hiệu quả. Các ứng dụng độc hại thực chất chỉ là giao diện giả lập trang đăng nhập của các ví tiền điện tử phổ biến, được nhúng sẵn bên trong ứng dụng. Khi người dùng cài đặt và mở ứng dụng, họ sẽ được yêu cầu khôi phục ví bằng cụm từ ghi nhớ gồm 12 từ (mnemonic phrase) – chìa khóa duy nhất để truy cập vào ví crypto cá nhân. Một khi thông tin này được nhập vào, hacker sẽ ngay lập tức chiếm quyền kiểm soát và rút sạch toàn bộ tài sản mà người dùng không hề hay biết.

CRIL đã công bố cụ thể danh sách 20 ứng dụng nguy hiểm kèm tên định danh (package name) để người dùng có thể kiểm tra và gỡ bỏ ngay: Pancake Swap (co.median.android.pkmxaj); Suiet Wallet (co.median.android.ljqjry); Hyperliquid (co.median.android.jroylx); Raydium (co.median.android.yakmje); Hyperliquid (co.median.android.aaxblp); BullX Crypto (co.median.android.ozjwka); OpenOcean Exchange (co.median.android.ozjjkx); Suiet Wallet (co.median.android.mpeaaw); Meteora Exchange (co.median.android.kbxqaj); Raydium (co.median.android.epwzyq); SushiSwap (co.median.android.pkezyz); Raydium (co.median.android.pkzylr); SushiSwap (co.median.android.brlljb); Hyperliquid (co.median.android.djerqq); Suiet Wallet (co.median.android.epeall); BullX Crypto (co.median.android.braqdy); Harvest Finance blog (co.median.android.ljmeob); Pancake Swap (co.median.android.djrdyk); Hyperliquid (co.median.android.epbdbn); Suiet Wallet (co.median.android.noxmdz).

Một số ứng dụng trong danh sách có thể trùng tên hoặc cùng mạo danh một ví tiền điện tử, do vậy cách nhận diện chính xác nhất là kiểm tra tên package được CRIL cung cấp. Khi khởi chạy các ứng dụng giả mạo, nạn nhân thường bị chuyển hướng đến một trang web lừa đảo hoặc giao diện giả, sau đó được yêu cầu nhập cụm từ khôi phục ví. Chỉ cần nhập vài dòng ký tự, người dùng đã vô tình giao toàn bộ tài sản kỹ thuật số của mình cho kẻ gian mà hoàn toàn không thể lấy lại.

Điểm chung của các ứng dụng độc hại này là sử dụng chiêu thức đánh lừa quen thuộc như chèn URL điều khiển (C&C) vào phần chính sách quyền riêng tư, mô tả ứng dụng sơ sài nhưng trông có vẻ hợp pháp, cùng một cấu trúc tên gói. Chúng cũng được phát hành qua nhiều tài khoản nhà phát triển khác nhau khiến việc truy vết càng trở nên khó khăn.

Ngay sau khi nhận được báo cáo, CRIL đã chuyển thông tin đến Google. Phần lớn ứng dụng đã bị gỡ khỏi Google Play Store, tuy nhiên một số vẫn còn tồn tại và có thể tiếp tục phát tán nếu không bị phát hiện kịp thời. Vì vậy, người dùng Android cần khẩn trương kiểm tra thiết bị, xóa bỏ các ứng dụng nghi ngờ và tuyệt đối không chia sẻ cụm từ ghi nhớ ví với bất kỳ ứng dụng nào, kể cả khi chúng xuất hiện trên nền tảng chính thống.

Kích hoạt Google Play Protect và chỉ tải ứng dụng từ nguồn đáng tin cậy là biện pháp phòng ngừa tối thiểu để bảo vệ tài sản số của bạn khỏi các mối đe dọa ngày càng tinh vi.

Theo vietq.vn