Cảnh báo: Hàng chục ví tiền ảo giả mạo lọt lưới App Store của Apple

Cảnh báo: Hàng chục ví tiền ảo giả mạo lọt lưới App Store của Apple

Cập nhật bảo mật iOS

Hơn hai chục ứng dụng tiền ảo giả mạo nhắm đến người dùng iOS đã được phát hiện trên Apple App Store, theo báo cáo mới nhất từ Kaspersky. Chiến dịch độc hại này, được đặt tên là FakeWallet, đã hoạt động ít nhất từ mùa thu năm 2025 với mục tiêu chính là đánh cắp cụm từ khôi phục (recovery phrases) và khóa riêng tư (private keys) của nạn nhân.

Chiến dịch giả mạo tinh vi

Kaspersky cho biết các ứng dụng này lần đầu tiên được chú ý đến vào tháng 3, sau khi chúng bắt đầu xuất hiện thường xuyên trong kết quả tìm kiếm trên App Store tại Trung Quốc. Do nhiều ứng dụng ví chính thức hiện không khả dụng cho người dùng tại quốc gia này vì các hạn chế quy định, các tác nhân đe dọa đã lợi dụng tình trạng này để bắt chước tên và biểu tượng của các ví uy tín.

Kỹ thuật "typosquatting" (đăng ký tên miền hoặc tên ứng dụng sai chính tả tương tự ứng dụng thật) được sử dụng để lừa người dùng tin rằng họ đang tải xuống phần mềm hợp pháp. Một số ứng dụng khác không sử dụng tên hoặc biểu tượng liên quan đến tiền ảo ngay từ đầu, nhưng hiển thị các biểu ngữ để dụ dỗ người dùng tải xuống với lý do là để truy cập vào các ví chính thức không có sẵn trên App Store.

Bảo mật di động

Các mục tiêu bị nhắm đến

Các chuyên gia an ninh mạng đã xác định tổng cộng 26 ứng dụng lừa đảo (phishing) mạo danh các ví tiền ảo lớn như Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket và Trust Wallet. Ngoài ra, Kaspersky còn phát hiện một số ứng dụng khác chưa có chức năng lừa đảo nhưng được liên kết với cùng một tác nhân đe dọa.

"Rất có thể các tính năng độc hại chỉ đang chờ được kích hoạt trong một bản cập nhật trong tương lai," Kaspersky nhận định.

Các ứng dụng lừa đảo này được thiết kế để mở một liên kết trong trình duyệt web, nhằm lừa người dùng cài đặt các phiên bản ví tiền ảo đã bị nhiễm mã độc. Mã độc thường được phân phối thông qua các thư viện, nhưng trong một số trường hợp, nó được tiêm trực tiếp vào mã nguồn của ví.

Nguy cơ đánh cắp tài sản

Phân tích mã cho thấy sự hiện diện của các chức năng thu thập cụm từ khôi phục và seed phrase của người dùng, cũng như chiếm đoạt các phương thức mà ứng dụng gọi khi người dùng cố gắng khôi phục ví nóng (hot wallets). Thậm chí, các ứng dụng này còn nhắm đến ví lạnh (cold wallets) thông qua hai bản cài đặt (implant) của Ledger.

Kaspersky đã xác định một trang web giả mạo trang web chính thức của Ledger, nơi lưu trữ các liên kết dẫn đến các ứng dụng này. Công ty an ninh mạng cũng tìm thấy các ứng dụng ví bị xâm phạm dành cho Android được phân phối thông qua các trang lừa đảo bằng tiếng Trung, tuy nhiên chúng không được phân phối qua Google Play Store.

Mối đe dọa toàn cầu

Mặc dù các ứng dụng dường như nhắm mục tiêu chính đến người dùng nói tiếng Trung, nhưng các mô-đun độc hại không có giới hạn khu vực tích hợp sẵn. Một số thông báo lừa đảo được thấy là thích ứng với ngôn ngữ của ứng dụng, gợi ý rằng người dùng bên ngoài Trung Quốc cũng có thể trở thành mục tiêu.

Tác nhân đe dọa đứng sau chiến dịch FakeWallet có vẻ có liên quan đến phần mềm độc hại SparkKitty bị phát hiện vào tháng 6 năm ngoái, dựa trên kỹ thuật phân phối, sự tập trung vào ví tiền ảo, các thông báo nhật ký bằng tiếng Trung trong các mô-đun độc hại và sự hiện diện của các mô-đun SparkKitty trong một số ứng dụng.

Hiện tại, Apple đã được thông báo về vấn đề này và đã bắt đầu gỡ bỏ các ứng dụng độc hại khỏi App Store. Người dùng được khuyến cáo nên kiểm tra kỹ tên nhà phát triển và đánh giá ứng dụng trước khi tải xuống các ví tiền ảo để bảo vệ tài sản kỹ thuật số của mình.