Một ứng dụng rút tiền từ ví điện từ trên Google Play đánh cắp hơn 70.000 USD của người dùng
Đây là vụ việc lừa đảo đầu tiên trên các ứng dụng điện thoại di động nhắm đến người dùng thuộc thị trường tiền điện tử.
Theo đó, công ty bảo mật IT Check Point Research đã phát hiện một ứng dụng rút tiền từ ví tiền điện tử sử dụng "kỹ thuật che giấu tiên tiến" trên Google Play Store để đánh cắp hơn 70.000 USD trong vòng 5 tháng.
Ứng dụng độc hại này đã ngụy trang thành giao thức WalletConnect, một ứng dụng nổi tiếng trong lĩnh vực tiền điện tử có khả năng kết nối nhiều loại ví tiền điện tử với các ứng dụng tài chính phi tập trung (DeFi).
Trong một bài đăng trên blog ngày 26/9, Check Point Research cho biết, điều này đánh dấu "lần đầu tiên các phần mềm rút tiền nhắm mục tiêu vào điện thoại của người sử dụng".
"Nhờ việc sử dụng các lượt đánh giá giả mạo và quảng bá tốt mà ứng dụng lừa đảo này đã đạt được hơn 10.000 lượt tải xuống, đồng thời luôn đứng thứ hạng cao trong kết quả tìm kiếm", Check Point Research cho biết.
Tính đến thời điểm bị phát hiện đã có hơn 150 người dùng trở thành nạn nhân của tin tặc với số tiền bị lừa đảo lên đến khoảng 70.000 USD. Song, không phải ai sử dụng ứng dụng trên cũng bị ảnh hưởng, bởi một số người đã tỉnh táo, không liên kết ứng dụng trên với ví điện tử của mình hoặc đơn giản hơn là nhận ra sự bất ổn của ứng dụng. Cũng có không ít trường hợp may mắn thoát nạn vì không đáp ứng tiêu chuẩn của phần mềm độc hại.
Ngoài ra, Check Point Research còn tiết lộ thêm về "mánh khóe" để ứng dụng lừa đảo WalletConnect có thể tồn tại từ ngày 21/3 trên Google Play, đó là sử dụng "kỹ thuật che giấu tiên tiến" nhằm qua mắt các nhà kiểm duyệt.
Cụ thể, ứng dụng này ban đầu được xuất bản dưới tên "Mestox Calculator" và đã được thay đổi nhiều lần, trong khi URL ứng dụng của nó vẫn trỏ đến một trang web có vẻ vô hại với một máy tính.
"Kỹ thuật này cho phép những kẻ tấn công vượt qua quá trình xem xét ứng dụng trên Google Play, vì các kiểm tra tự động và thủ công sẽ tải ứng dụng máy tính 'vô hại'", các nhà nghiên cứu cho biết.
Tuy nhiên, tùy thuộc vào vị trí địa chỉ IP của người dùng và nếu họ đang sử dụng thiết bị di động, họ sẽ được chuyển hướng đến back-end độc hại của ứng dụng chứa phần mềm rút tiền từ ví MS Drainer.
Giống như các trò lừa đảo khác được thiết kế để rút tiền từ ví, ứng dụng WalletConnect giả mạo yêu cầu người dùng kết nối ví của họ - một yêu cầu có vẻ không đáng ngờ do cách hoạt động của ứng dụng chính thức.
Sau đó, người dùng được yêu cầu chấp nhận các quyền khác nhau để "xác minh ví của họ", điều này cấp quyền cho địa chỉ của kẻ tấn công "chuyển tối đa số tiền trong ví đã được lựa chọn", Check Point Research cho hay.
Những tin tặc hầu như sẽ lấy tất cả tài sản có trong ví nạn nhân. Ban đầu chúng sẽ cố gắng rút các đồng token có nhiều giá trị rồi sau đó lột sạch toàn bộ.
Các chuyên gia của Check Point Research cảnh báo, sự cố lần này càng cho thấy mức độ tinh vi, nguy hiểm của các nhóm tội phạm mạng hiện nay. Có thể thấy, các nhóm tin tặc đã không còn đơn thuần tấn công kiểu truyền thống như chiếm đoạt quyền truy cập hoặc đánh cắp thông tin nữa mà thay vào đó, chúng đã sử dụng hợp đồng thông minh và liên kết sâu hơn để âm thầm rút tài sản khi người dùng bị lừa sử dụng ứng dụng.
Đặc biệt, người sử dụng cần phải đặc biệt cảnh giác với các ứng dụng tải từ "cửa hàng" về, kể cả khi chúng có vẻ hợp pháp và an toàn. Không chỉ vậy, các cửa hàng ứng dụng phải cải thiện quy trình xác minh để ngăn chặn các ứng dụng độc hại.
"Cộng đồng tiền điện tử cần tiếp tục giáo dục người dùng về các rủi ro liên quan đến công nghệ Web3," các nhà nghiên cứu nói. "Trường hợp này minh họa rằng ngay cả những tương tác có vẻ vô hại cũng có thể dẫn đến tổn thất tài chính đáng kể."
Google chưa có phản hồi về vụ việc.