WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Phát hiện chiến dịch đánh cắp tiền điện tử từ người dùng Android và iOS
Các nhà nghiên cứu đã lật tẩy một âm mưu tinh vi chủ yếu nhắm vào người dùng Trung Quốc thông qua các ứng dụng sao chép trên Android và iOS, bắt chước các dịch vụ ví điện tử hợp pháp để đánh cắp tiền điện tử.
Lukáš Štefanko, nhà nghiên cứu phần mềm độc hại cao cấp tại ESET cho biết: “Các ứng dụng độc hại này có thể đánh cắp các cụm từ mật của nạn nhân bằng cách mạo danh Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket hoặc OneKey”.
Dịch vụ ví điện tử được phân phối thông qua một mạng lưới hơn 40 trang web ví giả mạo được quảng bá với sự trợ giúp của các tin tức gây hiểu lầm được đăng trên các trang web hợp pháp của Trung Quốc, cũng như bằng cách tuyển dụng trung gian thông qua các nhóm Telegram và Facebook, nhắm lừa những khách truy cập vô tình tải xuống các ứng dụng độc hại.
ESET đã theo dõi chiến dịch kể từ tháng 5 năm 2021, cho rằng đây là hoạt động của một nhóm tội phạm duy nhất. Các ứng dụng ví tiền điện tử bị cài mã độc và được tạo ra theo cách sao chép cùng chức năng của các ứng dụng ban đầu, đồng thời kết hợp các thay đổi mã độc cho phép đánh cắp tài sản tiền điện tử.
Štefanko nói: “Những ứng dụng độc hại này cũng đại diện cho một mối đe dọa khác đối với nạn nhân, vì một số trong số chúng gửi các cụm từ giống từ khóa bí mật đến máy chủ của kẻ tấn công bằng kết nối HTTP không an toàn,” Štefanko nói. "Điều này có nghĩa là tiền của nạn nhân có thể bị đánh cắp không chỉ từ người điều hành kế hoạch này, mà còn bởi một kẻ tấn công khác nghe trộm trên cùng một mạng".
Công ty an ninh mạng Slovakia cho biết họ đã tìm thấy hàng chục nhóm quảng cáo các bản sao độc hại của các ứng dụng ví này trên ứng dụng nhắn tin Telegram, lần lượt được chia sẻ trên ít nhất 56 nhóm Facebook với hy vọng tìm được các đối tác phân phối mới cho âm mưu lừa đảo.
"Dựa trên thông tin có được từ các nhóm này, người phân phối phần mềm độc hại được cung cấp 50% hoa hồng đối với nội dung bị đánh cắp của ví", ESET lưu ý.
Các ứng dụng sau khi được cài đặt sẽ được định cấu hình khác nhau tùy thuộc vào hệ điều hành của thiết bị di động bị xâm phạm. Trên Android, các ứng dụng nhắm đến người dùng tiền điện tử chưa cài đặt bất kỳ ứng dụng ví nào được nhắm mục tiêu, trong khi trên iOS, nạn nhân có thể cài đặt cả hai phiên bản.
Cũng cần chỉ ra rằng các ứng dụng ví giả không có sẵn trực tiếp trên iOS App Store. Thay vào đó, chúng chỉ có thể được tải xuống bằng cách truy cập một trong những trang web độc hại sử dụng cấu hình có thể cài đặt các ứng dụng chưa được Apple xác minh và từ các nguồn bên ngoài App Store.
Cuộc điều tra cũng đã phát hiện ra 13 ứng dụng giả mạo là Jaxx Liberty Wallet trên Cửa hàng Google Play, tất cả đều đã bị xóa khỏi chợ ứng dụng Android kể từ tháng 1 năm 2022. Chúng đã được cài đặt chung hơn 1.100 lần.
Štefanko nói: “Mục tiêu của họ chỉ đơn giản là đưa ra cụm từ khôi phục của người dùng và gửi nó đến máy chủ của những kẻ tấn công hoặc đến một nhóm trò chuyện Telegram bí mật”. ESET cảnh báo rằng các cuộc tấn công có thể tràn sang các khu vực khác trên thế giới trong tương lai.
Lukáš Štefanko, nhà nghiên cứu phần mềm độc hại cao cấp tại ESET cho biết: “Các ứng dụng độc hại này có thể đánh cắp các cụm từ mật của nạn nhân bằng cách mạo danh Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket hoặc OneKey”.
ESET đã theo dõi chiến dịch kể từ tháng 5 năm 2021, cho rằng đây là hoạt động của một nhóm tội phạm duy nhất. Các ứng dụng ví tiền điện tử bị cài mã độc và được tạo ra theo cách sao chép cùng chức năng của các ứng dụng ban đầu, đồng thời kết hợp các thay đổi mã độc cho phép đánh cắp tài sản tiền điện tử.
Štefanko nói: “Những ứng dụng độc hại này cũng đại diện cho một mối đe dọa khác đối với nạn nhân, vì một số trong số chúng gửi các cụm từ giống từ khóa bí mật đến máy chủ của kẻ tấn công bằng kết nối HTTP không an toàn,” Štefanko nói. "Điều này có nghĩa là tiền của nạn nhân có thể bị đánh cắp không chỉ từ người điều hành kế hoạch này, mà còn bởi một kẻ tấn công khác nghe trộm trên cùng một mạng".
Công ty an ninh mạng Slovakia cho biết họ đã tìm thấy hàng chục nhóm quảng cáo các bản sao độc hại của các ứng dụng ví này trên ứng dụng nhắn tin Telegram, lần lượt được chia sẻ trên ít nhất 56 nhóm Facebook với hy vọng tìm được các đối tác phân phối mới cho âm mưu lừa đảo.
"Dựa trên thông tin có được từ các nhóm này, người phân phối phần mềm độc hại được cung cấp 50% hoa hồng đối với nội dung bị đánh cắp của ví", ESET lưu ý.
Các ứng dụng sau khi được cài đặt sẽ được định cấu hình khác nhau tùy thuộc vào hệ điều hành của thiết bị di động bị xâm phạm. Trên Android, các ứng dụng nhắm đến người dùng tiền điện tử chưa cài đặt bất kỳ ứng dụng ví nào được nhắm mục tiêu, trong khi trên iOS, nạn nhân có thể cài đặt cả hai phiên bản.
Cũng cần chỉ ra rằng các ứng dụng ví giả không có sẵn trực tiếp trên iOS App Store. Thay vào đó, chúng chỉ có thể được tải xuống bằng cách truy cập một trong những trang web độc hại sử dụng cấu hình có thể cài đặt các ứng dụng chưa được Apple xác minh và từ các nguồn bên ngoài App Store.
Cuộc điều tra cũng đã phát hiện ra 13 ứng dụng giả mạo là Jaxx Liberty Wallet trên Cửa hàng Google Play, tất cả đều đã bị xóa khỏi chợ ứng dụng Android kể từ tháng 1 năm 2022. Chúng đã được cài đặt chung hơn 1.100 lần.
Štefanko nói: “Mục tiêu của họ chỉ đơn giản là đưa ra cụm từ khôi phục của người dùng và gửi nó đến máy chủ của những kẻ tấn công hoặc đến một nhóm trò chuyện Telegram bí mật”. ESET cảnh báo rằng các cuộc tấn công có thể tràn sang các khu vực khác trên thế giới trong tương lai.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: