Các nhà nghiên cứu đã lật tẩy một âm mưu độc hại tinh vi chủ yếu nhắm vào người dùng Trung Quốc thông qua các ứng dụng sao chép trên Android và iOS, bắt chước các dịch vụ ví kỹ thuật số hợp pháp để bòn rút tiền điện tử.
Lukáš Štefanko, nhà nghiên cứu phần mềm độc hại cao cấp tại ESET cho biết: “Các ứng dụng độc hại này có thể đánh cắp các cụm từ hạt giống bí mật của nạn nhân bằng cách mạo danh Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket hoặc OneKey”.
Các dịch vụ ví được cho là đã được phân phối thông qua một mạng lưới gồm hơn 40 trang web ví giả mạo được quảng bá với sự trợ giúp của các bài viết gây hiểu lầm được đăng trên các trang web hợp pháp của Trung Quốc, cũng như bằng cách tuyển dụng người trung gian thông qua các nhóm Telegram và Facebook, trong một nỗ lực. để lừa những người truy cập không nghi ngờ tải xuống các ứng dụng độc hại.
ESET, đã theo dõi chiến dịch từ tháng 5 năm 2021, cho rằng nó là do hoạt động của một nhóm tội phạm duy nhất. Các ứng dụng ví tiền điện tử bị trojanized được tạo ra theo cách sao chép cùng chức năng của các ứng dụng ban đầu, đồng thời kết hợp các thay đổi mã độc cho phép đánh cắp tài sản tiền điện tử.
Štefanko cho biết: “Những ứng dụng độc hại này cũng đại diện cho một mối đe dọa khác đối với nạn nhân, vì một số trong số chúng gửi các cụm từ hạt giống nạn nhân bí mật đến máy chủ của kẻ tấn công bằng kết nối HTTP không an toàn,” Štefanko nói. “Điều này có nghĩa là tiền của nạn nhân có thể bị đánh cắp không chỉ bởi người điều hành kế hoạch này, mà còn bởi một kẻ tấn công khác nghe trộm trên cùng một mạng.”
Công ty an ninh mạng Slovakia cho biết họ đã tìm thấy hàng chục nhóm quảng cáo các bản sao độc hại của các ứng dụng ví này trên ứng dụng nhắn tin Telegram, lần lượt được chia sẻ trên ít nhất 56 nhóm Facebook với hy vọng tìm được các đối tác phân phối mới cho âm mưu lừa đảo.
“Dựa trên thông tin có được từ các nhóm này, một người phân phối phần mềm độc hại này được cung cấp 50% hoa hồng đối với nội dung bị đánh cắp của ví”, ESET lưu ý.
Trong một bước ngoặt độc đáo, các ứng dụng sau khi được cài đặt sẽ được định cấu hình khác nhau tùy thuộc vào hệ điều hành của thiết bị di động bị xâm phạm. Trên Android, các ứng dụng nhắm đến người dùng tiền điện tử chưa cài đặt bất kỳ ứng dụng ví nào được nhắm mục tiêu, trong khi trên iOS, nạn nhân có thể cài đặt cả hai phiên bản.
Cũng cần chỉ ra rằng các ứng dụng ví giả không có sẵn trực tiếp trên iOS App Store. Thay vào đó, chúng chỉ có thể được tải xuống bằng cách truy cập một trong những trang web độc hại sử dụng cấu hình có thể cài đặt các ứng dụng chưa được Apple xác minh và từ các nguồn bên ngoài App Store.
Cuộc điều tra cũng đã phát hiện ra 13 ứng dụng giả mạo là Jaxx Liberty Wallet trên Cửa hàng google Play, tất cả đều đã bị xóa khỏi chợ ứng dụng Android kể từ tháng 1 năm 2022. Chúng đã được cài đặt chung hơn 1.100 lần.
Štefanko nói: “Mục tiêu của họ chỉ đơn giản là đưa ra cụm từ hạt giống khôi phục của người dùng và gửi nó đến máy chủ của những kẻ tấn công hoặc đến một nhóm trò chuyện Telegram bí mật,” Štefanko nói.
Với việc các tác nhân đe dọa đằng sau hoạt động tích cực tuyển dụng các đối tác thông qua mạng xã hội và ứng dụng nhắn tin và cung cấp cho họ phần trăm tiền kỹ thuật số bị đánh cắp, ESET cảnh báo rằng các cuộc tấn công có thể tràn sang các khu vực khác trên thế giới trong tương lai.
“Hơn nữa, có vẻ như mã nguồn của mối đe dọa này đã bị rò rỉ và được chia sẻ trên một số trang web của Trung Quốc, điều này có thể thu hút nhiều tác nhân đe dọa khác nhau và lan truyền mối đe dọa này hơn nữa”, Štefanko nói thêm.
.
