Tưởng tượng bạn tải về ví MetaMask chính thức từ App Store của Apple, nhưng thực chất đó lại là một "con sói đội lốt cừu" đang rình rập để nuốt chửng toàn bộ tài sản crypto của bạn. Đó chính xác là những gì đã xảy ra với hàng nghìn người dùng Trung Quốc trong suốt 3 tháng qua. Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi với 26 ứng dụng độc hại đã xâm nhập thành công vào "pháo đài" App Store của Apple. Theo báo cáo từ công ty bảo mật DAppAuditor, những ứng dụng giả mạo này đã "cuỗm" đi hơn 2 triệu USD tiền cryptocurrency từ các nạn nhân không may mắn.

Chiến thuật "đánh tráo danh tính" tinh vi của hacker

Những tên tội phạm mạng này đã thể hiện sự tinh rafinesse đáng báo động trong việc tạo ra các ứng dụng giả mạo. Thay vì copy nguyên xi giao diện, chúng đã tỉ mỉ thiết kế lại từng chi tiết để trông giống hệt các ví crypto nổi tiếng như MetaMask, Coinbase, Trust Wallet, OneKey và Bitget Wallet. Chúng tôi cho rằng đây là một trong những vụ tấn công social engineering (kỹ thuật thao túng tâm lý) tinh vi nhất từng xuất hiện trên App Store.

Điều đáng lo ngại nhất là các ứng dụng này đã vượt qua được hệ thống kiểm duyệt nghiêm ngặt của Apple - một "thành trì" từng được coi là bất khả xâm phạm. Theo phân tích của chúng tôi, hacker đã sử dụng kỹ thuật "time bomb" - ứng dụng hoạt động bình thường trong giai đoạn đầu để qua mặt hệ thống review, sau đó mới kích hoạt tính năng độc hại thông qua các bản cập nhật ngầm.

Cơ chế "hút máu" seed phrase của malware crypto

Seed phrase hay còn gọi là recovery phrase (cụm từ khôi phục) chính là "chìa khóa vạn năng" để truy cập vào ví cryptocurrency của bạn. Đây là dãy 12-24 từ tiếng Anh được tạo ngẫu nhiên, có thể khôi phục toàn bộ ví crypto trên bất kỳ thiết bị nào. Các ứng dụng giả mạo này đã lợi dụng tính năng "khôi phục ví" để lừa người dùng nhập seed phrase, sau đó âm thầm gửi thông tin này về server của hacker.

Kỹ thuật này được gọi là "seed phrase phishing" - một dạng tấn công chuyên biệt trong lĩnh vực crypto. Sau khi có được seed phrase, hacker có thể tái tạo hoàn toàn ví của nạn nhân trên thiết bị khác và chuyển toàn bộ tài sản về ví riêng. Quá trình này thường diễn ra chỉ trong vài phút, khiến nạn nhân không kịp phản ứng. Chúng tôi đánh giá đây là một trong những phương thức tấn công hiệu quả nhất hiện nay do tính chất bất khả nghịch của giao dịch blockchain.

Thiệt hại 2 triệu USD và những con số đáng báo động

Báo cáo từ DAppAuditor cho thấy trong vòng 3 tháng hoạt động, 26 ứng dụng độc hại này đã "rút cạn" hơn 2 triệu USD từ ví của các nạn nhân. Con số thực tế có thể còn cao hơn nhiều do không phải tất cả các giao dịch đều được theo dõi được. Trung bình mỗi ứng dụng đã "thu hoạch" được khoảng 77.000 USD, cho thấy quy mô và tác động nghiêm trọng của chiến dịch này.

So với các vụ tấn công tương tự trong quá khứ, đây được coi là một trong những chiến dịch thành công nhất nhắm vào người dùng di động. Năm 2022, chúng ta đã chứng kiến vụ việc tương tự trên Google Play Store với khoảng 40 ứng dụng giả mạo, nhưng thiệt hại chỉ khoảng 500.000 USD. Điều này cho thấy các tội phạm mạng ngày càng tinh vi và hiệu quả hơn trong việc khai thác lòng tin của người dùng vào các cửa hàng ứng dụng chính thức.

Cách bảo vệ bản thân khỏi "bẫy ngọt" crypto malware

Bước đầu tiên và quan trọng nhất: tuyệt đối chỉ tải ví crypto từ website chính thức của nhà phát triển, không bao giờ tìm kiếm trực tiếp trên App Store. Kiểm tra kỹ tên nhà phát triển, số lượng đánh giá và đọc các review gần đây để phát hiện dấu hiệu bất thường. Nếu một ứng dụng có ít đánh giá hoặc các review trông giả tạo, hãy tránh xa ngay lập tức.

Đối với người dùng Việt Nam, chúng tôi khuyến nghị mạnh mẽ việc sử dụng hardware wallet (ví cứng) thay vì ví di động cho việc lưu trữ số tiền lớn. Các thiết bị như Ledger hay Trezor tuy có giá thành cao hơn nhưng đảm bảo seed phrase không bao giờ tiếp xúc với internet. Đồng thời, hãy kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản crypto và thường xuyên cập nhật phần mềm bảo mật. Nhớ rằng trong thế giới crypto, bạn chính là ngân hàng của chính mình - và trách nhiệm bảo vệ tài sản hoàn toàn nằm trong tay bạn.