Tin tặc Brazil dùng Google Play giả để đào coin và trộm USDT

Tin tặc tại Brazil đang phát tán mã độc Android qua các trang giả mạo Google Play, biến điện thoại nhiễm thành máy đào tiền điện tử và cài thêm mã độc ngân hàng để chiếm quyền truy cập từ xa.

Các ứng dụng độc hại được ngụy trang như app hợp pháp, nhưng sau khi cài đặt có thể mở rộng tấn công sang đánh cắp thông tin và can thiệp giao dịch, đặc biệt nhắm vào ví và sàn liên quan USDT.

Hình thức phát tán và tác động chính

Mã độc được lan truyền bằng các trang giả mạo cửa hàng ứng dụng, khiến người dùng cài app tưởng hợp pháp nhưng thực chất bị kiểm soát và khai thác tài nguyên để đào tiền điện tử.

Theo mô tả, một khi cài đặt, ứng dụng độc hại biến điện thoại nhiễm thành các giàn đào tiền điện tử. Đi kèm là khả năng cài thêm mã độc ngân hàng và cấp cho kẻ tấn công quyền truy cập từ xa, mở rộng rủi ro vượt xa việc tiêu tốn pin, dữ liệu và hiệu năng.

Việc kết hợp đào tiền điện tử với truy cập từ xa giúp kẻ tấn công vừa tạo dòng lợi nhuận, vừa duy trì điểm bám để triển khai các lớp tấn công khác. Điều này làm tăng nguy cơ bị chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu và thực hiện thao tác trái phép trong các ứng dụng tài chính.

Nhắm Binance, Trust Wallet và giao dịch USDT

Một số biến thể cài trojan ngân hàng nhắm Binance và Trust Wallet, đặc biệt trong lúc chuyển USDT, bằng cách chèn giao diện giả và thay địa chỉ ví nhận.

Cơ chế được nêu gồm: lớp phủ hiển thị một trang giả đè lên giao diện ứng dụng hợp pháp để đánh lừa người dùng. Sau đó, mã độc âm thầm thay thế địa chỉ ví bằng một địa chỉ do kẻ tấn công kiểm soát, khiến tiền điện tử có thể bị chuyển hướng mà người dùng khó nhận ra ngay.

Điểm nguy hiểm là hành vi thay địa chỉ ví diễn ra lặng lẽ trong luồng thao tác bình thường, tập trung vào thời điểm chuyển USDT. Nếu người dùng chỉ xác nhận theo giao diện hiển thị mà không đối chiếu địa chỉ ví đích, rủi ro chuyển nhầm sang địa chỉ của kẻ tấn công sẽ tăng cao.