Theo báo cáo từ công ty bảo mật IT Check Point Research, một ứng dụng rút tiền từ ví tiền điện tử đã sử dụng "kỹ thuật ẩn giấu tiên tiến" trên Google Play Store để đánh cắp hơn 70.000 USD trong khoảng thời gian 5 tháng.
Ứng dụng độc hại này đã ngụy trang dưới dạng giao thức WalletConnect, một ứng dụng nổi tiếng trong lĩnh vực tiền điện tử cho phép kết nối nhiều loại ví với các ứng dụng tài chính phi tập trung (DeFi).
Trong một bài viết trên blog vào ngày 26/9, Check Point Research cho biết đây là lần đầu tiên phần mềm rút tiền nhắm vào điện thoại của người dùng.
"Nhờ vào việc sử dụng các đánh giá giả và quảng cáo hiệu quả, ứng dụng lừa đảo này đã đạt hơn 10.000 lượt tải xuống và luôn đứng ở vị trí cao trong tìm kiếm," theo Check Point Research.
Tính đến thời điểm bị phát hiện, đã có hơn 150 người dùng trở thành nạn nhân của tin tặc với tổng số tiền bị đánh cắp lên đến khoảng 70.000 USD. Tuy nhiên, không phải tất cả người dùng ứng dụng đều bị ảnh hưởng, vì một số đã cảnh giác và không liên kết ứng dụng với ví điện tử của mình hoặc nhận ra sự bất thường của ứng dụng. Nhiều người cũng may mắn thoát khỏi rủi ro do không đáp ứng tiêu chuẩn của phần mềm độc hại.
Ngoài ra, Check Point Research cũng tiết lộ "mánh khóe" cho phép ứng dụng lừa đảo WalletConnect tồn tại từ ngày 21/3 trên Google Play là nhờ vào "kỹ thuật ẩn giấu tiên tiến" nhằm qua mặt các nhà kiểm duyệt.
Cụ thể, ứng dụng này ban đầu được phát hành dưới tên "Mestox Calculator" và đã thay đổi nhiều lần, trong khi URL vẫn trỏ đến một trang web có vẻ vô hại với một máy tính.
"Kỹ thuật này giúp kẻ tấn công vượt qua quy trình kiểm tra ứng dụng trên Google Play, vì các kiểm tra tự động và thủ công chỉ tải ứng dụng máy tính 'vô hại'," các nhà nghiên cứu cho biết.
Tuy nhiên, tùy thuộc vào vị trí địa chỉ IP của người dùng và nếu họ sử dụng thiết bị di động, họ sẽ được chuyển hướng đến phần mềm độc hại chứa mã rút tiền MS Drainer.
Giống như những trò lừa đảo khác, ứng dụng WalletConnect giả mạo yêu cầu người dùng kết nối ví của họ - một yêu cầu có vẻ hợp lý do cách hoạt động của ứng dụng chính thức.
Sau đó, người dùng sẽ được yêu cầu cấp các quyền khác nhau để "xác minh ví của họ", từ đó cho phép kẻ tấn công "chuyển tối đa số tiền trong ví đã chọn", Check Point Research cho hay.
Tin tặc sẽ cố gắng rút hết tài sản trong ví nạn nhân, bắt đầu bằng cách lấy các token có giá trị cao trước khi xóa sạch toàn bộ.
Các chuyên gia từ Check Point Research cảnh báo rằng sự việc này càng cho thấy tính tinh vi và nguy hiểm của các nhóm tội phạm mạng hiện nay. Rõ ràng, các nhóm tin tặc không còn chỉ tấn công theo kiểu truyền thống mà đã sử dụng hợp đồng thông minh và kết nối sâu hơn để âm thầm lấy cắp tài sản khi người dùng bị lừa.
Người dùng cần phải cảnh giác đặc biệt với các ứng dụng tải từ "cửa hàng", ngay cả khi chúng có vẻ hợp pháp và an toàn. Hơn nữa, các cửa hàng ứng dụng cần cải thiện quy trình xác minh để ngăn chặn ứng dụng độc hại.
"Cộng đồng tiền điện tử cần tiếp tục giáo dục người dùng về các rủi ro liên quan đến công nghệ Web3," các nhà nghiên cứu nói. "Trường hợp này cho thấy rằng ngay cả những tương tác tưởng chừng vô hại cũng có thể dẫn đến tổn thất tài chính lớn."