Các ứng dụng này giả mạo các ví điện tử phổ biến như SushiSwap, PancakeSwap, Hyperliquid cùng nhiều nền tảng khác, với mục đích đánh cắp cụm từ ghi nhớ (mnemonic phrase) – “chìa khóa” để truy cập vào ví và chiếm đoạt toàn bộ tài sản kỹ thuật số của người dùng.

Theo CRIL, đây không phải là các trường hợp đơn lẻ mà nằm trong một chiến dịch lừa đảo có tổ chức, được triển khai bài bản và vẫn đang tiếp diễn. Trong quá trình điều tra, nhóm nghiên cứu đã phát hiện ít nhất hơn 50 tên miền có liên quan, cho thấy một hạ tầng kỹ thuật phức tạp đã được thiết lập nhằm qua mặt cơ chế kiểm duyệt của Google Play.

Khi người dùng mở các ứng dụng này, giao diện ví giả lập hoặc một trang web lừa đảo sẽ hiện ra, yêu cầu nhập cụm từ khôi phục (seed phrase) – thông tin bảo mật cực kỳ nhạy cảm.

Chỉ cần vài dòng ký tự, kẻ gian có thể chiếm quyền kiểm soát ví điện tử và rút sạch tài sản bên trong. Điều đáng lo ngại là người dùng hoàn toàn không thể khôi phục số tiền đã mất.

CRIL nhấn mạnh, nếu cụm từ ghi nhớ rơi vào tay kẻ xấu, toàn bộ tài sản mã hóa có thể “bốc hơi” chỉ trong tích tắc. Do đó, người dùng cần thường xuyên kiểm tra thiết bị, lập tức xóa bỏ các ứng dụng đáng ngờ, đặc biệt là những ví điện tử không rõ nguồn gốc và tuyệt đối không chia sẻ cụm từ khôi phục dưới bất kỳ hình thức nào.

Việc bật tính năng Google Play Protect cũng được khuyến nghị để tăng cường lớp bảo vệ và hạn chế nguy cơ bị tấn công từ phần mềm độc hại.

CRIL đã phát hiện hơn 20 ứng dụng độc hại liên quan đến tiền mã hóa đang hoạt động trên Google Play Store. (Ảnh minh họa)

Ngay sau khi phát hiện, CRIL đã gửi báo cáo đến Google, dẫn đến việc phần lớn các ứng dụng lừa đảo đã bị gỡ bỏ khỏi Play Store. Tuy nhiên, tính đến thời điểm công bố, một số ứng dụng vẫn còn tồn tại và đang tiếp tục được báo cáo để xử lý.

Theo CRIL, các ứng dụng này có nhiều đặc điểm nhận dạng chung như: Chèn liên kết máy chủ điều khiển (C&C) ngay trong phần chính sách quyền riêng tư, sử dụng mô tả và tên gói (package name) có cấu trúc tương tự nhau. Dù vậy, chúng được phát hành dưới nhiều tài khoản nhà phát triển khác nhau, khiến việc phát hiện trên diện rộng gặp nhiều khó khăn.

Danh sách hơn 20 ứng dụng Android được CRIL khuyến cáo người dùng nên gỡ bỏ ngay khỏi thiết bị đã được công bố. Lưu ý, các ứng dụng này có thể trùng tên hiển thị nhưng lại khác nhau ở tên gói – yếu tố dùng để phân biệt chính xác giữa ứng dụng thật và giả mạo.

- Pancake Swap

- Suiet Wallet

- Hyperliquid

- Raydium

- Hyperliquid

- BullX Crypto

- OpenOcean Exchange

- Suiet Wallet

- Meteora Exchange

- Raydium

- SushiSwap

- Raydium

- SushiSwap

- Hyperliquid

- Suiet Wallet

- BullX Crypto

- Harvest Finance blog

- Pancake Swap

- Hyperliquid

- Suiet Wallet