Một chiến dịch phần mềm độc hại mới đang tàn phá Play Store. Theo các nhà nghiên cứu tại công ty an ninh mạng Cyble, hơn 20 ứng dụng gian lận đã được phát hiện trên cửa hàng ứng dụng của Google. Phương pháp của chúng rất đơn giản nhưng cực kỳ hiệu quả: chúng mạo danh các ứng dụng ví tiền điện tử uy tín, chẳng hạn như PancakeSwap, SushiSwap, Raydium và Hyperliquid.
Các ví mục tiêu cũng bao gồm Suiet Wallet, BullX Crypto, Meteora Exchange, Harvest Finance Blog và OpenOcean Exchange. Cyble lưu ý rằng các ứng dụng thường sử dụng tài khoản nhà phát triển bị xâm phạm để vượt qua các cuộc kiểm tra bảo mật của Google, cho phép chúng ngụy trang thành phần mềm hợp pháp.
Google tuyên bố rằng tất cả các ứng dụng được xác định trong báo cáo đã bị xóa khỏi Cửa hàng Play. Công ty cũng nhấn mạnh rằng hệ thống Google Play Protect của họ được thiết kế để phát hiện loại hành vi này và chủ động bảo vệ người dùng. Tuy nhiên, chiến dịch vẫn đang diễn ra và các ứng dụng độc hại khác vẫn có thể xuất hiện.
Các nhà nghiên cứu của Cyble lưu ý rằng các ứng dụng đang được đề cập có một số điểm chung: tên "gói" tương tự, chính sách bảo mật có chứa liên kết đến máy chủ chỉ huy và kiểm soát (C&C) và các mô tả tương tự. Đây đều là những dấu hiệu cho thấy một cơ sở hạ tầng được phối hợp đằng sau hoạt động này.
Jake Moore, một chuyên gia an ninh mạng tại ESET, thúc giục cảnh giác: "Ngay cả trên Cửa hàng Play, nơi áp dụng các biện pháp kiểm soát chặt chẽ, điều quan trọng là phải kiểm tra thông tin chi tiết của nhà phát triển, đánh giá của người dùng và số lượt tải xuống". Ông cũng khuyến cáo không bao giờ cài đặt ứng dụng tiền điện tử mà không truy cập trang web chính thức của dịch vụ đó.
Cyble nói thêm rằng hoạt động này sử dụng cơ sở hạ tầng lừa đảo rộng lớn, được liên kết với hơn 50 tên miền khác nhau, khiến việc phát hiện bằng các biện pháp bảo vệ truyền thống trở nên khó khăn hơn. Sau đây là 20 ứng dụng được đề cập:
Trong thế giới tiền điện tử, không ngân hàng nào có thể cứu người dùng bất cẩn. Một cụm từ ghi nhớ bị rò rỉ và số tiền sẽ biến mất mãi mãi. Thực hành tốt nhất vẫn là chỉ cài đặt ứng dụng thông qua liên kết trên các trang web ví tiền điện tử chính thức. Và nếu bất kỳ ứng dụng nào được đề cập ở trên có trên điện thoại thông minh của bạn, bạn cần phải xóa chúng ngay lập tức.
Cuối cùng, việc bật và duy trì Google Play Protect là một rào cản bổ sung đối với các ứng dụng này, ngay cả khi nó không thể đảm bảo bảo vệ tuyệt đối. Khi nói đến tiền điện tử, cảnh giác vẫn là biện pháp phòng thủ tốt nhất.
Ví tiền điện tử được sao chép để lừa người dùng
Sau khi cài đặt, các ứng dụng giả mạo này sẽ mở một trang web lừa đảo, trong trình duyệt hoặc trực tiếp trong ứng dụng và yêu cầu người dùng nhập cụm từ ghi nhớ của họ, một chuỗi các từ có thể khôi phục quyền truy cập vào ví tiền điện tử. Sau khi nhập cụm từ này, tiền sẽ bị đánh cắp.Các ví mục tiêu cũng bao gồm Suiet Wallet, BullX Crypto, Meteora Exchange, Harvest Finance Blog và OpenOcean Exchange. Cyble lưu ý rằng các ứng dụng thường sử dụng tài khoản nhà phát triển bị xâm phạm để vượt qua các cuộc kiểm tra bảo mật của Google, cho phép chúng ngụy trang thành phần mềm hợp pháp.
Google tuyên bố rằng tất cả các ứng dụng được xác định trong báo cáo đã bị xóa khỏi Cửa hàng Play. Công ty cũng nhấn mạnh rằng hệ thống Google Play Protect của họ được thiết kế để phát hiện loại hành vi này và chủ động bảo vệ người dùng. Tuy nhiên, chiến dịch vẫn đang diễn ra và các ứng dụng độc hại khác vẫn có thể xuất hiện.
Các nhà nghiên cứu của Cyble lưu ý rằng các ứng dụng đang được đề cập có một số điểm chung: tên "gói" tương tự, chính sách bảo mật có chứa liên kết đến máy chủ chỉ huy và kiểm soát (C&C) và các mô tả tương tự. Đây đều là những dấu hiệu cho thấy một cơ sở hạ tầng được phối hợp đằng sau hoạt động này.
Jake Moore, một chuyên gia an ninh mạng tại ESET, thúc giục cảnh giác: "Ngay cả trên Cửa hàng Play, nơi áp dụng các biện pháp kiểm soát chặt chẽ, điều quan trọng là phải kiểm tra thông tin chi tiết của nhà phát triển, đánh giá của người dùng và số lượt tải xuống". Ông cũng khuyến cáo không bao giờ cài đặt ứng dụng tiền điện tử mà không truy cập trang web chính thức của dịch vụ đó.
Cyble nói thêm rằng hoạt động này sử dụng cơ sở hạ tầng lừa đảo rộng lớn, được liên kết với hơn 50 tên miền khác nhau, khiến việc phát hiện bằng các biện pháp bảo vệ truyền thống trở nên khó khăn hơn. Sau đây là 20 ứng dụng được đề cập:
Trong thế giới tiền điện tử, không ngân hàng nào có thể cứu người dùng bất cẩn. Một cụm từ ghi nhớ bị rò rỉ và số tiền sẽ biến mất mãi mãi. Thực hành tốt nhất vẫn là chỉ cài đặt ứng dụng thông qua liên kết trên các trang web ví tiền điện tử chính thức. Và nếu bất kỳ ứng dụng nào được đề cập ở trên có trên điện thoại thông minh của bạn, bạn cần phải xóa chúng ngay lập tức.
Cuối cùng, việc bật và duy trì Google Play Protect là một rào cản bổ sung đối với các ứng dụng này, ngay cả khi nó không thể đảm bảo bảo vệ tuyệt đối. Khi nói đến tiền điện tử, cảnh giác vẫn là biện pháp phòng thủ tốt nhất.
