RatOn – Mã độc mới đe dọa ví tiền mã hóa trên Android như MetaMask và Trust Wallet

Một mã độc mới nhắm vào người dùng smartphone chạy Android đang gây lo ngại sâu sắc trên khắp cộng đồng tiền mã hóa toàn cầu, đặc biệt là với người dùng các ví phổ biến như MetaMask(MetaMask), Trust Wallet(Trust Wallet), Phantom(Phantom) và Blockchain.com(Blockchain.com). Theo báo cáo mới công bố từ công ty an ninh mạng ThreatFabric (Hà Lan) ngày 24 (giờ địa phương), loại mã độc này có tên là “RatOn” – một biến thể nâng cấp của trojan truy cập từ xa (remote access trojan - RAT), có thể kiểm soát thiết bị từ xa để chiếm đoạt ví tiền mã hóa của người dùng.

Ra mắt lần đầu vào tháng 6 năm nay, “RatOn” kết hợp cơ chế tấn công của trojan ngân hàng truyền thống và phát triển thành một công cụ có khả năng xâm nhập sâu hơn. Đến tháng 8, hoạt động của mã độc này bùng phát mạnh, cho thấy các cuộc tấn công đang lan rộng. RatOn hỗ trợ nhiều ngôn ngữ như tiếng Anh, tiếng Séc, tiếng Slovakia và có thể tránh được hầu hết phần mềm diệt virus hiện hành – khiến tình trạng mất an toàn thông tin càng nghiêm trọng.

Điểm đặc biệt nguy hiểm của phần mềm độc hại này là khả năng tự động mở ứng dụng ví tiền mã hóa, ghi lại thao tác bàn phím và dùng kỹ thuật "overlay" (lớp phủ giao diện) để đánh cắp mã PIN. Sau đó, mã độc tiếp tục thao tác UI trong ứng dụng ví để lừa người dùng lộ ra "cụm từ khôi phục" (seed phrase) – vốn là chìa khóa nắm giữ toàn bộ tài sản tiền mã hóa trong ví. Nếu cụm từ này bị lấy cắp, người dùng sẽ mất quyền kiểm soát hoàn toàn đối với ví của mình.

ThreatFabric đưa ra cảnh báo rằng “RatOn không chỉ đơn thuần là chiêu trò phishing hay khai thác kỹ thuật xã hội mà đã tiến hóa thành kịch bản đánh cắp dữ liệu được tự động hóa hoàn toàn”. Việc nhận ra dấu hiệu nhiễm độc với người dùng thông thường là vô cùng khó khăn. Do đó, người dùng Android nói chung và người dùng ví tiền mã hóa nói riêng cần cảnh giác khi cài đặt ứng dụng mới, đặc biệt từ các nguồn không chính thống.

Từ năm 2019 đến nay, hầu hết các vụ tấn công liên quan đến tiền mã hóa đều thông qua tiện ích mở rộng trình duyệt như Chrome Extension hoặc các email lừa đảo. Tuy nhiên, sự xuất hiện của RatOn cho thấy hình thức tấn công đang dịch chuyển rõ rệt sang nền tảng di động. Điều này đòi hỏi các biện pháp bảo vệ nghiêm ngặt hơn từ phía người dùng.

Các chuyên gia khuyên người dùng không nên cài đặt ứng dụng từ bên ngoài Google Play Store, luôn cập nhật đầy đủ bản vá bảo mật và áp dụng xác thực hai yếu tố (2FA) để đảm bảo an toàn. Bình luận cho rằng, càng nhiều người sử dụng tiền mã hóa thì các cuộc tấn công của hacker lại càng tinh vi hơn. Thậm chí, ngay cả dự án NFT của Tổng thống Trump gần đây cũng từng bị lợi dụng qua một liên kết cài đặt phần mềm quảng cáo độc hại, cho thấy bất kỳ ai cũng có thể trở thành mục tiêu.

Tóm lại, trong bối cảnh các dạng tấn công mới như RatOn xuất hiện, người dùng sử dụng ví tiền mã hóa như MetaMask(MetaMask), Trust Wallet(Trust Wallet) hay Phantom(Phantom) cần chủ động hơn bao giờ hết. Đây không chỉ là cuộc chơi của công nghệ mà còn là trách nhiệm cá nhân trong việc quản lý tài sản số của chính mình.