Tin tặc Brazil sử dụng Google Play Store giả để đào Crypto và đánh cắp USDT

Tin tặc tại Brazil đã vận hành một trang Google Play Store giả mạo được thiết kế để lừa người dùng Android tải xuống phần mềm độc hại chiếm quyền điều khiển điện thoại của họ để khai thác tiền mã hóa và đánh cắp USDT từ ví của họ.

Chiến dịch này nhắm vào cơ sở người dùng crypto đang tăng trưởng nhanh chóng của Brazil với một cửa hàng gian lận sao chép trực quan Google Play Store hợp pháp. Nạn nhân được dẫn đến trang giả mạo thông qua các chiến thuật kỹ thuật xã hội, bao gồm quảng cáo độc hại và liên kết giả mạo được phân phối qua SMS và mạng xã hội.

Khi vào trang giả mạo, người dùng được nhắc tải xuống những gì có vẻ là ứng dụng Android hợp pháp. Các tải xuống thực tế là các tệp APK độc hại chứa mã độc hại có hai mục đích.

Cách Google Play Store Giả Mạo Lôi Kéo Người Dùng Android Brazil

Cửa hàng giả mạo bắt chước chặt chẽ thị trường ứng dụng chính thức của Google, sao chép bố cục, thương hiệu và định dạng danh sách ứng dụng của nó. Mức độ chi tiết khiến người dùng thông thường khó phân biệt trang gian lận với trang thật.

Kẻ tấn công sử dụng nhiều cơ chế phân phối để đưa nạn nhân đến URL giả mạo. Chúng bao gồm các chiến dịch quảng cáo độc hại trả phí trên các nền tảng xã hội, tin nhắn giả mạo được gửi qua SMS và các liên kết được chia sẻ trong các nhóm Telegram và WhatsApp tập trung vào tiền mã hóa phổ biến ở Brazil.

Các APK độc hại được ngụy trang thành các ứng dụng tiện ích phổ biến hoặc, trong một số trường hợp, là các ứng dụng ví tiền mã hóa và giao dịch. Bởi vì các tệp được cài đặt bên ngoài thay vì cài đặt thông qua Play Store chính thức, chúng bỏ qua hoàn toàn quá trình quét bảo mật của Google Play Protect.

Đây là một sự khác biệt quan trọng: Play Protect chỉ bao gồm các ứng dụng được phân phối thông qua kênh chính thức của Google, để lại các APK được cài đặt bên ngoài không được kiểm tra.

Brazil đã trở thành mục tiêu chính cho các chiến dịch này. Quốc gia này có một trong những cơ sở người dùng crypto lớn nhất ở Mỹ Latinh, với hàng triệu người nắm giữ bán lẻ quản lý tài sản kỹ thuật số trên thiết bị di động.

Sự kết hợp giữa mức độ chấp nhận cao và việc sử dụng Android rộng rãi tạo ra điều kiện lý tưởng cho kẻ tấn công. Các chiến dịch cửa hàng ứng dụng giả mạo tương tự trước đây đã nhắm vào người dùng crypto ở Đông Nam Á và Đông Âu.

Phần Mềm Độc Hại Chiếm Quyền Điện Thoại Để Khai Thác Crypto và Rút Cạn Ví USDT

Sau khi được cài đặt, phần mềm độc hại thực hiện một cuộc tấn công hai giai đoạn. Thành phần đầu tiên là một cryptojacker âm thầm chiếm quyền CPU của thiết bị để khai thác tiền mã hóa ở chế độ nền mà không có sự biết hoặc đồng ý của người dùng.

Nạn nhân thường chỉ nhận thấy hoạt động mining thông qua các triệu chứng thứ cấp: pin hết nhanh, quá nhiệt và suy giảm hiệu suất đáng kể. Những dấu hiệu này thường bị nhầm lẫn với sự lão hóa điện thoại nói chung hoặc lỗi phần mềm, cho phép phần mềm độc hại hoạt động không bị phát hiện trong thời gian dài.

Thành phần thứ hai, gây thiệt hại hơn, nhắm trực tiếp vào số dư USDT. Phần mềm độc hại sử dụng chiếm đoạt clipboard để chặn các giao dịch tiền mã hóa. Khi người dùng sao chép địa chỉ ví USDT để gửi tiền, phần mềm độc hại âm thầm thay thế nó bằng địa chỉ do kẻ tấn công kiểm soát.

Trừ khi người gửi xác minh thủ công từng ký tự của địa chỉ được dán trước khi xác nhận, tiền sẽ đi trực tiếp đến tin tặc. Loại tấn công giả mạo dựa trên trojan này đã ngày càng trở nên phổ biến trên các nền tảng di động.

USDT là stablecoin được nắm giữ rộng rãi nhất trong số người dùng bán lẻ trên toàn cầu, khiến nó trở thành mục tiêu đặc biệt sinh lợi. Không giống như các loại tiền mã hóa biến động, USDT bị đánh cắp duy trì giá trị neo đô la của nó, mang lại cho kẻ tấn công tính thanh khoản ổn định, tức thì dễ dàng chuyển đổi hoặc rửa tiền.

Thiết kế hai mục đích tối đa hóa lợi nhuận cho kẻ tấn công. Mining tạo ra dòng thu nhập thụ động từ mỗi thiết bị bị nhiễm, trong khi trình chiếm đoạt clipboard chờ đợi các cơ hội giao dịch có giá trị cao. Ngay cả một giao dịch USDT bị chặn có thể thu về hàng nghìn đô la, khiến hoạt động này đặc biệt gây thiệt hại cho người dùng nắm giữ số dư stablecoin đáng kể trên thiết bị di động.

Loại trộm cắp có mục tiêu này là một phần của mô hình rộng lớn hơn về các khoản lỗ quy mô lớn tấn công người nắm giữ crypto thông qua các vectơ tấn công khác nhau.

Những Gì Người Dùng Android Nên Làm Để Bảo Vệ Crypto Của Họ

Người dùng Android phải đối mặt với mức độ tiếp xúc lớn hơn với loại tấn công này so với người dùng iOS. Android cho phép cài đặt ứng dụng từ các nguồn bên ngoài cửa hàng chính thức theo mặc định, trong khi iOS hạn chế cài đặt vào App Store trừ khi thiết bị bị jailbreak.

Biện pháp phòng thủ hiệu quả nhất rất đơn giản: chỉ tải xuống ứng dụng trực tiếp từ Google Play Store chính thức bằng cách điều hướng đến play.google.com theo cách thủ công hoặc sử dụng ứng dụng Play Store được cài đặt sẵn. Không bao giờ cài đặt ứng dụng từ các liên kết nhận được qua SMS, email, mạng xã hội hoặc ứng dụng nhắn tin.

Người dùng nên xác minh rằng Google Play Protect được bật trên thiết bị của họ bằng cách mở Play Store, nhấn vào biểu tượng hồ sơ của họ và chọn "Play Protect." Điều này cung cấp quét cơ bản cho phần mềm độc hại đã biết, mặc dù nó không thể bảo vệ chống lại các mối đe dọa được cài đặt bên ngoài từ các nguồn bên ngoài.

Đối với bất kỳ ai nắm giữ số lượng USDT hoặc tài sản crypto khác có ý nghĩa, việc giữ tiền trên thiết bị di động đại diện cho một rủi ro vốn có. Các nhà nghiên cứu bảo mật khuyến nghị sử dụng ví phần cứng để lưu trữ lâu dài và coi ví di động chỉ mang theo những gì bạn có thể đủ khả năng để mất.

Một thiết bị chuyên dụng cho các giao dịch crypto, tách biệt với việc duyệt web và sử dụng ứng dụng hàng ngày, bổ sung thêm một lớp bảo vệ. Khi các tổ chức tiếp tục đầu tư mạnh vào tài sản kỹ thuật số, giá trị ngày càng tăng chảy qua hệ sinh thái crypto chỉ làm tăng động lực cho kẻ tấn công.

Khi gửi crypto từ bất kỳ thiết bị nào, luôn kiểm tra kỹ toàn bộ địa chỉ đích sau khi dán, không chỉ vài ký tự đầu và cuối. Trình chiếm đoạt clipboard thường tạo ra các địa chỉ khớp với phần đầu và cuối của địa chỉ người nhận dự định để tránh xác minh thông thường.

Thị trường crypto đang mở rộng nhanh chóng của Brazil, nơi Bitcoin và các tài sản kỹ thuật số khác đã chứng kiến hành động giá biến động gần đây, khiến quốc gia này trở thành mục tiêu có giá trị cao cho các chiến dịch phần mềm độc hại di động. Khi việc chấp nhận crypto tăng lên trên khắp Mỹ Latinh, nhận thức về bảo mật cần phải theo kịp các mối đe dọa nhắm vào người nắm giữ bán lẻ trên các thiết bị cá nhân nhất của họ.

Disclaimer: Bài viết này chỉ dành cho mục đích thông tin và không cấu thành tư vấn tài chính hoặc đầu tư. Thị trường tiền mã hóa và tài sản kỹ thuật số mang theo rủi ro đáng kể. Luôn tự nghiên cứu trước khi đưa ra quyết định.