Cảnh báo người dùng iPhone: Kaspersky phát hiện 26 ứng dụng ví Crypto giả có thể rút sạch tiền của bạn

Công ty an ninh mạng Kaspersky đã xác định 26 ứng dụng ví tiền mã hoá giả mạo trên App Store của Apple, được thiết kế nhằm đánh cắp tài sản kỹ thuật số của người dùng.

Nhóm Nghiên cứu Mối đe dọa của công ty phát hiện rằng các ứng dụng này giả mạo các ví tiền mã hoá phổ biến như MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken và Bitpie bằng cách sao chép tên và hình ảnh thương hiệu để trông có vẻ hợp lệ. Khi mở ra, các ứng dụng này chuyển hướng người dùng đến các trang lừa đảo (phishing) giống giao diện App Store và nhắc họ tải xuống một ứng dụng thứ hai, thực chất là một ví đã bị cài mã độc (trojanized) có thể rút cạn tiền mã hoá.

Cách thức hoạt động của trò lừa đảo

Kaspersky cho biết chiến dịch này đã hoạt động ít nhất từ mùa thu năm 2025 và với "mức độ tin tưởng vừa phải," đã liên kết nó với các tác nhân đe dọa đứng sau SparkKitty, một dòng mã độc iOS đã được xác định trước đây. Các phiên bản chính thức của nhiều ứng dụng ví này không có sẵn trên App Store iOS tại Trung Quốc; hầu hết các ứng dụng lừa đảo được phát hiện đều được phân phối đặc biệt cho người dùng tại Trung Quốc, mặc dù bản thân mã độc không có giới hạn theo khu vực. Điều này về cơ bản có nghĩa là người dùng ngoài Trung Quốc cũng có thể bị ảnh hưởng. Kaspersky xác nhận đã báo cáo tất cả các ứng dụng được xác định cho Apple.

Theo kết quả nghiên cứu, các ứng dụng giả mạo bao gồm các tính năng cơ bản, không liên quan như trò chơi, máy tính hoặc trình quản lý tác vụ để tạo vẻ hợp lệ và vượt qua kiểm tra ban đầu. Sau khi cài đặt, chúng hướng dẫn người dùng qua một quy trình mở trang web App Store giả và khuyến khích họ tải xuống thứ có vẻ là ứng dụng ví mong muốn.

Quy trình cài đặt này hoạt động tương tự SparkKitty, sử dụng công cụ dành cho nhà phát triển doanh nghiệp của Apple để phân phối ứng dụng nội bộ. Người dùng được nhắc cài đặt hồ sơ nhà phát triển trên thiết bị của họ, cho phép họ cài đặt ứng dụng từ bên ngoài App Store. Kẻ tấn công dựa vào việc người dùng bỏ qua bước này để cho phép cài đặt phần mềm độc hại.

Sau khi được cài đặt, các ứng dụng ví đã bị cài mã độc được thiết kế để bắt chước hành vi của ví cụ thể mà chúng giả mạo. Chúng nhắm vào cả ví nóng lẫn ví lạnh.

Chuyên gia mã độc di động của Kaspersky, Sergey Puzan, tuyên bố rằng mặc dù bản thân các ứng dụng có thể không chứa mã độc hại, nhưng chúng đóng vai trò là điểm vào trong một chuỗi tấn công rộng hơn, cuối cùng dẫn đến việc cài đặt mã độc. Nhà nghiên cứu tiếp tục cảnh báo,

Thiết bị Ledger giả mạo

Báo cáo mới nhất xuất hiện vài ngày sau khi một thiết bị Ledger Nano S Plus giả mạo được bán qua chợ trực tuyến bị phát hiện là một phần của chiến dịch lừa đảo tinh vi nhằm đánh cắp thông tin đăng nhập ví tiền mã hoá bởi một nhà nghiên cứu an ninh mạng người Brazil. Thiết bị này được tiếp thị và định giá như một sản phẩm chính hãng, ban đầu trông có vẻ thật nhưng không vượt qua được xác minh khi kết nối với Ledger Live.

Khi mở thiết bị ra, nhà nghiên cứu phát hiện các linh kiện bên trong không khớp với phần cứng hợp lệ, bao gồm một chip đã bị xóa nhãn và các ăng-ten WiFi và Bluetooth bổ sung không có trong ví Ledger chính hãng. Kiểm tra thêm firmware cho thấy cả mã PIN và cụm từ khoá đều được lưu trữ dưới dạng văn bản thuần túy, cùng với các tham chiếu đến máy chủ bên ngoài, cho thấy thiết bị được thiết kế để thu thập và truyền dữ liệu nhạy cảm.

Nhà nghiên cứu thừa nhận rằng cuộc tấn công này không liên quan đến bất kỳ lỗ hổng nào trong bảo mật của Ledger, mà thay vào đó sử dụng thiết bị giả, ứng dụng độc hại và thủ thuật lừa đảo để nhắm vào người dùng.

Bài viết Người dùng iPhone hãy cảnh giác: Kaspersky gắn cờ 26 ứng dụng ví Crypto giả có thể rút cạn tiền của bạn xuất hiện đầu tiên trên CryptoPotato.