Công ty bảo mật CNTT Check Point Research đã phát hiện ra một kẻ lừa đảo sử dụng "kỹ thuật trốn tránh tiên tiến" trên cửa hàng Google Play để đánh cắp hơn 70.000 đô la trong năm tháng.

Ứng dụng độc hại này ngụy trang thành giao thức WalletConnect, một ứng dụng nổi tiếng trong lĩnh vực tiền điện tử có thể liên kết nhiều loại ví tiền điện tử với các ứng dụng tài chính phi tập trung (DeFi).

Công ty cho biết trong bài đăng trên blog ngày 26 tháng 9 rằng đây là "lần đầu tiên những kẻ lừa đảo chỉ nhắm vào người dùng thiết bị di động".

Check Point Research cho biết: "Các bài đánh giá giả mạo và thương hiệu nhất quán đã giúp ứng dụng đạt được hơn 10.000 lượt tải xuống bằng cách xếp hạng cao trong kết quả tìm kiếm".

Hơn 150 người dùng đã bị mất khoảng 70.000 đô la — không phải tất cả người dùng ứng dụng đều bị nhắm mục tiêu vì một số người không kết nối ví hoặc thấy đó là lừa đảo. Những người khác "có thể không đáp ứng các tiêu chí nhắm mục tiêu cụ thể của phần mềm độc hại", Check Point Research cho biết.

Một số đánh giá giả mạo trên ứng dụng WalletConnect giả mạo đã đề cập đến các tính năng không liên quan gì đến tiền điện tử. Nguồn: Check Point Research

Nó nói thêm rằng ứng dụng giả mạo đã có sẵn trên cửa hàng ứng dụng của Google vào ngày 21 tháng 3 và sử dụng "các kỹ thuật trốn tránh tiên tiến" để không bị phát hiện trong hơn năm tháng. Hiện tại, ứng dụng này đã bị xóa.

Ứng dụng này lần đầu tiên được phát hành dưới tên “Mestox Calculator” và đã được thay đổi nhiều lần trong khi URL ứng dụng vẫn trỏ đến một trang web có vẻ vô hại với một máy tính.

Các nhà nghiên cứu cho biết: "Kỹ thuật này cho phép kẻ tấn công vượt qua quy trình đánh giá ứng dụng trên Google Play vì các kiểm tra tự động và thủ công sẽ tải ứng dụng máy tính 'vô hại'".

Tuy nhiên, tùy thuộc vào vị trí địa chỉ IP của người dùng và liệu họ có sử dụng thiết bị di động hay không, họ sẽ được chuyển hướng đến ứng dụng độc hại chứa phần mềm rút tiền MS Drainer.

Sơ đồ về cách ứng dụng WalletConnect giả mạo hoạt động để rút một số tiền của người dùng. Nguồn: Check Point Research

Giống như các chương trình rút tiền ví khác, ứng dụng WalletConnect giả mạo yêu cầu người dùng kết nối ví — điều này không đáng ngờ vì cách thức hoạt động của ứng dụng thật.

Sau đó, người dùng được yêu cầu chấp nhận nhiều quyền khác nhau để "xác minh ví của họ", điều này sẽ cấp quyền cho địa chỉ của kẻ tấn công "chuyển số tiền tối đa của tài sản được chỉ định", Check Point Research cho biết.

“Ứng dụng này sẽ lấy giá trị của tất cả tài sản trong ví của nạn nhân. Đầu tiên, nó sẽ cố gắng rút những token đắt tiền hơn, sau đó là những token rẻ hơn”, nó nói thêm.

"Sự cố này làm nổi bật sự tinh vi ngày càng tăng của các chiến thuật tội phạm mạng", Check Point Research viết. "Ứng dụng độc hại không dựa vào các vectơ tấn công truyền thống như quyền hoặc ghi lại phím. Thay vào đó, nó sử dụng hợp đồng thông minh và liên kết sâu để âm thầm rút cạn tài sản khi người dùng bị lừa sử dụng ứng dụng".

Báo cáo cũng cho biết thêm rằng người dùng phải "cảnh giác với các ứng dụng họ tải xuống, ngay cả khi chúng có vẻ hợp pháp" và các cửa hàng ứng dụng phải cải thiện quy trình xác minh để ngăn chặn các ứng dụng độc hại.

"Cộng đồng tiền điện tử cần tiếp tục giáo dục người dùng về những rủi ro liên quan đến công nghệ Web3", các nhà nghiên cứu cho biết. "Trường hợp này minh họa rằng ngay cả những tương tác có vẻ vô hại cũng có thể dẫn đến tổn thất tài chính đáng kể".

Google vẫn chưa trả lời ngay lập tức yêu cầu bình luận.

Crypto-Sec: 2 kiểm toán viên bỏ lỡ lỗ hổng Penpie trị giá 27 triệu đô la, lỗi 'yêu cầu phần thưởng' của Pythia