Ví crypto trên iPhone gặp rủi ro khi Google phát hiện bộ công cụ khai thác iOS mới

Google vừa phát hiện một bộ công cụ hack có tên Coruna, âm thầm xâm nhập iPhone và đánh cắp tiền điện tử bằng cách tấn công các ứng dụng ví phổ biến như MetaMask, Phantom và Trust Wallet.

Người dùng không cần thao tác gì, chỉ cần truy cập vào một website giả mạo hoặc đã bị chiếm quyền trên iPhone chưa được cập nhật bảo mật là đã có thể bị nhiễm mã độc này.

Tại sao điều này quan trọng:

• Những iPhone chạy iOS 17.2.1 hoặc phiên bản cũ hơn vẫn đang có nguy cơ bị tấn công; Apple chỉ vá lỗ hổng này trên iOS 17.3 phát hành vào tháng 01/2024.
• Bộ công cụ này có thể quét nội dung ghi chú và tin nhắn để tìm các cụm từ khôi phục ví tiền điện tử (seed phrase) và các từ khóa như “backup phrase”, cho phép hacker chiếm toàn bộ quyền truy cập ví mà không cần mật khẩu.
• Có tới 18 ứng dụng liên quan đến tiền điện tử bị nhắm mục tiêu, trong đó người dùng MetaMask, Phantom, Exodus, Trust Wallet và Uniswap có nguy cơ bị đánh cắp tài sản trực tiếp.

Chi tiết vụ việc:

• GTIG được cho là đã thu thập được toàn bộ bộ công cụ này từ hàng trăm website tài chính và sàn giao dịch tiền điện tử giả mạo, bao gồm cả một trang giả danh sàn giao dịch crypto WEEX.
• Một nhóm tình báo Nga bị nghi ngờ đã sử dụng chính bộ công cụ này vào mùa hè năm 2025 để tấn công người dùng iPhone tại Ukraine thông qua website của các doanh nghiệp địa phương đã bị xâm nhập.
• Sau đó, một nhóm tội phạm tài chính có trụ sở tại Trung Quốc đã phát tán rộng rãi bộ công cụ này qua các trang lừa đảo, nhờ vậy Google đã lấy được bản đầy đủ của Coruna.
• Bật tính năng Lockdown Mode trong phần cài đặt iPhone có thể ngăn chặn hoàn toàn cuộc tấn công — bộ công cụ sẽ tự động phát hiện chế độ này và dừng hoạt động.

Bức tranh toàn cảnh: