Seed phrase hay còn được gọi là cụm từ hạt giống, chuỗi phục hồi, cụm từ gốc, chuỗi ghi nhớ, từ bí mật, sao lưu, hoặc nhiều tên khác. Nó gồm 12 hoặc 24 từ được thiết lập khi bạn mới “đập hộp” ví cứng và yêu cầu bạn phải sao lưu cụm từ này cẩn thận. Trong trường hợp bạn mất ví cứng, quên mã PIN, hoặc một bản cập nhật firmware bị lỗi, seed phrase sẽ giúp bạn khôi phục tiền điện tử của mình trên một chiếc ví mới có cùng tiêu chuẩn BIP39.

Một cuộc điều tra gần đây từ công ty tình báo an ninh mạng Cyble đã phát hiện một chiến dịch nhắm vào người dùng tiền điện tử thông qua cửa hàng Google Play với hơn 20 ứng dụng Android độc hại.

Ảnh minh họa

Các ứng dụng này, giả mạo các ví tiền điện tử phổ biến như SushiSwap, PancakeSwap, Hyperliquid và Raydium, được phát hiện đang thu thập cụm từ ghi nhớ 12 từ của người dùng – chìa khóa mở ra quyền truy cập vào ví tiền điện tử của họ.

Các ứng dụng này mô phỏng giao diện của ví chính thống, lừa người dùng nhập cụm từ khôi phục. Khi người dùng nhập vào, kẻ tấn công có thể truy cập vào ví thật và rút sạch tiền. Mặc dù Google đã xóa nhiều ứng dụng sau báo cáo của Cyble, vẫn còn một số ứng dụng vẫn đang hoạt động và đã được đánh dấu để gỡ bỏ.

Cách thức hoạt động của trò lừa đảo

Theo báo cáo được Cyble chia sẻ với Hackread.com, các ứng dụng giả mạo mang tên và biểu tượng của các nền tảng tiền điện tử nổi tiếng và xuất hiện dưới các tài khoản nhà phát triển từng phát hành các ứng dụng hợp pháp như trò chơi, công cụ tải video và dịch vụ phát trực tuyến. Một số tài khoản trong số này có hơn 100.000 lượt tải về, dường như đã bị chiếm quyền và sử dụng lại để phân phối ứng dụng độc hại.

Trong nhiều trường hợp, các ứng dụng sử dụng một công cụ phát triển có tên là Median Framework để nhanh chóng biến các trang web lừa đảo thành ứng dụng Android. Các ứng dụng này tải trực tiếp các trang lừa đảo trong cửa sổ WebView (trình duyệt nhúng), nơi yêu cầu người dùng nhập cụm từ khôi phục dưới danh nghĩa "truy cập ví".

Chiến dịch không chỉ có quy mô rộng mà còn được tổ chức bài bản. Một tên miền lừa đảo được Cyble phát hiện có liên kết đến hơn 50 tên miền tương tự, tất cả đều nằm trong cùng một nỗ lực nhằm đánh cắp thông tin ví.

Các nhà nghiên cứu của Cyble cũng nhận thấy mẫu hoạt động giống nhau giữa các ứng dụng giả: nhiều ứng dụng có đường dẫn trong chính sách quyền riêng tư trỏ đến các trang web lừa đảo, cùng với kiểu đặt tên tương tự – cho thấy có thể sử dụng công cụ tự động để tạo và đăng tải hàng loạt.

Ngoài ra, nhiều ứng dụng kết nối đến cùng một máy chủ hoặc website, cho thấy chúng là một phần của mạng lưới tấn công có tổ chức. Một số tên miền giả mạo được liên kết bao gồm:

bullxnisbs

hyperliqwsbs

raydifloydcz

sushijamessbs

pancakefentfloydcz

Các tên miền này giả dạng các nhà cung cấp ví, hiển thị các trang nhằm đánh lừa người dùng nhập cụm từ khôi phục ví của họ. Danh sách một số ứng dụng độc hại (do Cyble cung cấp) gồm:

Raydium

SushiSwap

Suiet Wallet

Hyperliquid

BullX Crypto

Pancake Swap

Meteora Exchange

OpenOcean Exchange

Harvest Finance Blog

Dù có nỗ lực gỡ bỏ, chiến dịch vẫn đang diễn ra. Một số ứng dụng vẫn hoạt động trên Google Play. Việc sử dụng các công cụ phát triển có sẵn cho thấy kẻ tấn công có thể dễ dàng tạo thêm các ứng dụng giả nếu không bị chặn kịp thời.

Điều này đặt ra mối nguy lớn. Khác với ngân hàng truyền thống, tiền điện tử không có cơ chế "hoàn tiền". Một khi ví bị rút sạch, hầu như không thể khôi phục lại tài sản.

Cyble đã chia sẻ các chỉ báo xâm nhập (IOCs) bao gồm tên ứng dụng, định danh gói (package name) và tên miền lừa đảo để các chuyên gia an ninh có thể theo dõi và ngăn chặn thêm.

Chiến dịch này một lần nữa cho thấy kẻ tấn công đang lợi dụng cả các nền tảng chính thức như Google Play để nhắm đến lĩnh vực tiền mã hóa vốn đã dễ bị tổn thương. Dù các nền tảng đang cố gắng ngăn chặn tải lên ứng dụng độc hại, người dùng vẫn là đối tượng chịu ảnh hưởng trực tiếp.

Người dùng được khuyến cáo thực hiện các biện pháp bảo vệ sau:

Cảnh giác với các dấu hiệu bất thường như: ít đánh giá, ứng dụng mới đăng lại, chính sách quyền riêng tư chứa liên kết lạ.

Tránh tải và cài đặt các ứng dụng không cần thiết.

Kích hoạt Google Play Protect để phát hiện ứng dụng có hại.

Sử dụng bảo mật sinh trắc học và xác thực hai lớp nếu có thể.

Cẩn trọng khi tải ứng dụng, dù từ cửa hàng chính thức hay bên thứ ba.

Tuyệt đối không nhập cụm từ 12 từ (seed phrase) vào bất kỳ ứng dụng hoặc trang web nào nếu không chắc chắn về độ tin cậy. (theo Reuters)