Hơn 70.000 đô la đã biến mất khỏi ví tiền điện tử thông qua ứng dụng lừa đảo trên Google Play

Ứng dụng độc hại đánh cắp hơn 70.000 đô la từ người dùng tiền điện tử: Sự việc xảy ra như thế nào?

Một khám phá gần đây củaKiểm tra điểm nghiên cứu đã gây chấn động cộng đồng tiền điện tử khi tiết lộ một ứng dụng gian lận đã lừa đảo hơn 70.000 đô la từ những người dùng di động nhẹ dạ cả tin trong suốt năm tháng.

Được ngụy trang dưới dạng giao thức WalletConnect hợp pháp, phần mềm độc hại này đã vượt qua được các biện pháp bảo mật của Google, khiến nó trở thành một trong những mối đe dọa đáng kể nhất trong lĩnh vực tiền điện tử di động cho đến nay.

Tài khoản X của giao thức WalletConnect hợp pháp

Ứng dụng WalletConnect giả đã thu hút được sự chú ý như thế nào

Ban đầu được phát hành dưới tên "Mestox Calculator" vào ngày 21 tháng 3, ứng dụng WalletConnect giả mạo đã sử dụng một loạt các chiến thuật lừa đảo để đạt được độ tin cậy và khả năng hiển thị trên Cửa hàng Google Play.

Ứng dụng WalletConnect giả trên Cửa hàng Google Play có logo giống với logo của sản phẩm hợp pháp.

Check Point Research lưu ý rằng "các bài đánh giá giả mạo và thương hiệu nhất quán đã giúp ứng dụng đạt được hơn 10.000 lượt tải xuống bằng cách xếp hạng cao trong kết quả tìm kiếm".

Đánh giá giả trên Google Play Store

Trong số các đánh giá giả mạo và tiêu cực, chỉ có 20 người dùng báo cáo ứng dụng này là lừa đảo trên Google Play, điều này cho thấy nhiều nạn nhân vẫn chưa chắc chắn về việc mất tiền.

Việc thao túng hệ thống đánh giá của cửa hàng ứng dụng này đã cho phép phần mềm độc hại phát triển bất chấp nhiều bình luận tiêu cực từ người dùng.

Sự hiện diện của ứng dụng trong kết quả tìm kiếm được củng cố thêm thông qua thương hiệu gây hiểu lầm bắt chước một cái tên đáng tin cậy trong lĩnh vực tiền điện tử, do đó thu hút được nhiều đối tượng.

Quy trình của giao thức WalletConnect thực sự

Điều gì khiến ứng dụng khó bị phát hiện?

Ứng dụng độc hại này đã khéo léo sử dụng "các kỹ thuật trốn tránh tiên tiến" để không bị phát hiện trong khi thực hiện các hoạt động xấu xa của mình.

Sau khi tải xuống, ứng dụng sẽ chuyển hướng người dùng dựa trên địa chỉ IP và loại thiết bị của họ.

Những người truy cập vào đó từ thiết bị di động sẽ được chuyển đến một phần mềm chứa phần mềm rút tiền trong ví có tên là MS Drainer.

Giải thích về Check Point,

“Kỹ thuật này cho phép kẻ tấn công vượt qua quy trình đánh giá ứng dụng trên Google Play vì các kiểm tra tự động và thủ công sẽ tải ứng dụng máy tính ‘vô hại’”.

Quy trình làm việc của ứng dụng giả mạo

Khả năng ngụy trang của ứng dụng này hiệu quả đến mức nhiều người dùng không hề nhận ra ý định thực sự của nó.

Khi được yêu cầu kết nối ví, họ tin rằng đây là quy trình chuẩn phù hợp với các ứng dụng ví hợp pháp.

Họ không hề biết rằng họ đã cấp cho ứng dụng những quyền rộng rãi để thao túng tài sản của họ.

Cuộc tấn công diễn ra như thế nào?

Sau khi người dùng liên kết ví của mình, ứng dụng yêu cầu họ chấp nhận nhiều quyền khác nhau dưới danh nghĩa xác minh tài khoản.

Bước quan trọng này cho phép kẻ tấn công thực hiện các giao dịch trái phép trực tiếp từ ví của nạn nhân.

“Ứng dụng này sẽ lấy giá trị của tất cả tài sản trong ví của nạn nhân. Đầu tiên, nó sẽ cố gắng rút những token đắt tiền hơn, sau đó là những token rẻ hơn”, Check Point lưu ý.

Phần mềm độc hại hoạt động thông qua các hợp đồng thông minh, tạo điều kiện cho việc chuyển tiền lén lút đến địa chỉ của kẻ tấn công.

Như một nạn nhân đã mô tả về trải nghiệm này,

“Nó trông giống như một ứng dụng bình thường và tôi nghĩ mình chỉ đang kết nối ví như tôi vẫn thường làm.”

Trên thực tế, người dùng đã vô tình cung cấp cho kẻ tấn công khả năng chuyển "số lượng tài sản tối đa được chỉ định", cho phép hành vi trộm cắp liên tục mà không cần bất kỳ tương tác nào của người dùng.

Tác động đối với bảo mật di động là gì?

Sự cố này làm nổi bật một vấn đề cấp bách trong hệ sinh thái tiền điện tử - sự tinh vi ngày càng tăng của các chiến thuật tội phạm mạng.

Ứng dụng giả mạo này không dựa vào các phương pháp thông thường như ghi phím hoặc yêu cầu cấp quyền quá mức; thay vào đó, nó lợi dụng sự phức tạp về mặt kỹ thuật của tài chính phi tập trung để thực hiện mục đích xấu của mình.

Check Point nhấn mạnh nhu cầu người dùng phải luôn cảnh giác về các ứng dụng họ tải xuống, nêu rõ,

“Sự cố này làm nổi bật sự tinh vi ngày càng tăng của các chiến thuật tội phạm mạng.”

Mặc dù ứng dụng gian lận đã bị xóa khỏi Cửa hàng Google Play nhưng thiệt hại vẫn rất đáng kể.

Hơn 150 người dùng đã trở thành nạn nhân của vụ lừa đảo này, nhiều người mất một lượng tiền điện tử đáng kể.

Check Point đã xác định các giao dịch mã thông báo từ hơn 150 địa chỉ trên khắp các mạng EVM, ước tính những kẻ tấn công đã tích lũy được hơn 70.000 đô la tài sản.

Các chuyên gia trong lĩnh vực này hiện đang kêu gọi người dùng tự tìm hiểu về những rủi ro liên quan đến công nghệ Web3 và thận trọng khi tương tác với các ứng dụng di động liên quan đến tài sản kỹ thuật số của họ.

Người dùng có thể tự bảo vệ mình như thế nào?

Trước sự cố đáng báo động này, các chuyên gia an ninh mạng đang kêu gọi cải thiện quy trình xác minh trên các nền tảng phân phối ứng dụng.

Người dùng phải thực hiện các biện pháp chủ động để bảo vệ tài sản của mình, chẳng hạn như xác minh tính hợp pháp của bất kỳ ứng dụng nào trước khi liên kết ví của họ.

Check Point đã cảnh báo,

“Cộng đồng tiền điện tử cần tiếp tục giáo dục người dùng về những rủi ro liên quan đến công nghệ Web3.”

Khi tiền điện tử tiếp tục phát triển, các chiến thuật mà kẻ lừa đảo sử dụng cũng ngày càng đa dạng.

Tập phim này đóng vai trò như lời nhắc nhở quan trọng về lỗ hổng vốn có trong các ứng dụng di động và tầm quan trọng của việc liên tục cảnh giác trong bối cảnh tài sản kỹ thuật số.