Một nhóm gồm 26 ứng dụng độc hại trên Apple App Store giả mạo các ví điện tử phổ biến như Metamask, Coinbase, Trust Wallet và OneKey để đánh cắp recovery hoặc seed phrase và tài sản tiền điện tử của người dùng.
Các nhà nghiên cứu của Kaspersky cho biết, tất cả 26 ứng dụng độc hại này đều là một phần của cùng chiến dịch “FakeWallet”, đồng thời liên kết chúng với chiến dịch “SparkKitty” được triển khai từ năm ngoái.
Sau khi người dùng cài đặt và mở các ứng dụng này, nó sẽ chuyển hướng đến các trang web lừa đảo được thiết kế để trông giống như các cổng thông tin hợp pháp của các dịch vụ tiền điện tử.
.jpg)
Trang web giả mạo Ledger
Các trang web này thuyết phục nạn nhân tải xuống các ứng dụng ví điện tử bị nhiễm mã độc bằng cách sử dụng Provisioning Profiles iOS, một tính năng hợp pháp dành cho doanh nghiệp nhưng bị lợi dụng để cài đặt phần mềm độc hại vào thiết bị của họ. Kỹ thuật tương tự cũng được phát hiện trong SparkKitty.
.jpg)
Cài đặt Provisioning Profiles
Các ứng dụng này có khả năng chặn mnemonic phrase trong quá trình thiết lập ví hoặc màn hình recovery, mã hóa chúng bằng RSA và Base64, rồi gửi cho kẻ tấn công.
Đối với ví lạnh như Ledger, kẻ tấn công dựa vào các prompt lừa đảo trong ứng dụng, đánh lừa người dùng nhập thủ công seed phrase của họ thông qua các màn hình xác minh bảo mật giả mạo. Đáng chú ý, phrase chỉ thuộc sở hữu của chủ nhân ví hợp pháp, được dùng để chuyển/khôi phục ví sang thiết bị mới và không yêu cầu xác nhận hoặc mật khẩu bổ sung.
Do đó, các tác nhân đe dọa có thể sử dụng chúng để khôi phục ví của nạn nhân trên thiết bị của chúng và rút hết tiền trong ví mà không có khả năng thu hồi lại số tiền.
.jpg)
Seed phrase dùng để tấn công lừa đảo
Kaspersky lưu ý rằng chiến dịch này chủ yếu nhắm vào người dùng ở Trung Quốc. Tuy nhiên, bản thân phần mềm độc hại không có giới hạn về địa lý, vì vậy nó có thể ảnh hưởng đến người dùng trên toàn cầu nếu những kẻ điều hành quyết định mở rộng phạm vi nhắm mục tiêu.
Người dùng tiền điện tử được khuyến nghị nên kiểm tra kỹ nhà phát hành của các ứng dụng mà họ tải xuống, ngay cả từ các cửa hàng ứng dụng chính thức, đồng thời chỉ sử dụng các liên kết được cung cấp trên trang web chính thức.
Trước thực trạng trên, Apple đã gỡ bỏ toàn bộ 26 ứng dụng độc hại khỏi App Store sau khi Kaspersky đưa ra thông tin có trách nhiệm. Trong một diễn biến liên quan, mới đây, một ứng dụng Ledger giả mạo đã xuất hiện trên App Store của Apple và đánh cắp 9,5 triệu USD tiền điện tử từ 50 người dùng macOS.
