在新冠肺炎疫情期间,加密货币估值呈指数级增长,市值超过2万亿美元。自然,加密货币现在已经成为攻击者的目标。
Lookout威胁实验室(Lookout Threat Lab)170多名安全研究人员已确认Android应用程序,其中包括25个谷歌Play应用程序会欺骗对加密货币感兴趣的用户。其中许多应用程序可以在全球范围内使用。这些应用程序标榜其收费云加密货币挖掘服务。经过分析,研究人员发现没有云货币挖掘。
为了保护Android用户,Google 立即从 Google Play 删除了这些应用程序。
这些应用程序都是通过合法的支付流程从用户那里窃取资金,但从不提供承诺服务。根据研究人员的分析,他们欺骗了超过9.3在用户购买应用程序和购买额外的虚假升级和服务时,至少骗取了35万美元。
研究人员将这些应用程序分为两个不同的家庭,并将其命名为 BitScam 和 CloudScam。
虽然这两个家庭在技术上有所不同,但所有的应用程序都使用类似的商业模式,这表明许多罪犯以相同的方式建立了针对用户的竞争业务。
大多数恶意软件执行的代码都会执行一些明显的恶意活动,如将私人信息泄露到命令和控制服务器中,显示广告或发送高质量的短信。
使BitScam和CloudScam该应用程序之所以能在杀毒软件的监控下运行,是因为它们不做任何真正恶意的事情。事实上,他们几乎什么都不做。他们只是为不存在的资金欺诈服务的工具。
研究人员在 Google Play 在上面找到的 CloudScam 应用程序示例和 BitScam 应用程序示例
随着加密采矿技术的发展,欺诈变得更加容易
加密货币挖掘(又称加密货币挖掘)是利用计算机处理能力来解决验证加密货币交易的复杂数学问题,然后矿工将获得少量加密货币作为奖励,一种常见的挖掘策略被称为挖掘池,在这里,个人可以贡献计算能力,获得加密货币的比例。
云挖掘是矿池的演变,就像云计算是当地数据中心计算的演变一样。云矿工租用云计算能力,而不是用户购买硬件并支付巨额电费来捐赠云计算池。
云挖掘不仅带来了便利,而且也带来了网络安全风险。由于云计算的简单性和敏捷性,它可以快速和容易地建立一个看起来真实但实际上是一个骗局的加密挖掘服务。网络犯罪分子建立了类似的计划来窃取桌面用户,Lookout威胁实验室团队发现了第一个将计划打包到移动应用程序的骗局。
BitScam和CloudScam它是如何工作的?
虽然合法的云挖掘业务可以使用移动应用程序作为仪表板,但应用程序可能具有高质量的代码,并遵循安全的代码实践。我们的应用程序分析揭示了一个令人不安的模式。虽然据说代表了许多不同的挖掘操作,但所有分析的应用程序都共享了非常相似的代码和设计,并将在下面解释。解释这些应用程序有多简单,BitScam使用不需要编程经验的框架创建应用程序。
大多数 BitScam 和 CloudScam 应用程序是付费的。这意味着攻击者从这些应用程序的销售中获利。CloudScam 和 BitScam 还提供与加密挖掘相关的订阅和服务,用户可以通过 Google Play 应用内计费系统支付这些费用。BitScam 的区别在于,它的应用程序也接受比特币和以太坊作为支付选项。
Google Play 各种 BitScam 和 CloudScam 应用程序
虚构的收入活动
成功登录后,用户会看到一个可用的哈希挖掘率及其活动仪表盘“赚到了”有多少金币。显示的哈希率通常很低,以吸引用户更快的购买承诺。这是 BitScam 和 CloudScam 通过销售应用内部升级、额外订阅和服务获得更多收入的项目。
如果实际发生云挖矿,BitScam或CloudScam,在安全的云数据库中,用户通过API查询。在分析了代码和网络流量后,研究人员发现,这些应用程序显示了虚构的货币余额,而不是挖掘出的货币数量。显示值只是一个在应用程序中缓慢增加的计数器。在一些分析的应用程序中,研究人员观察到,这种情况只发生在应用程序在前台运行时,通常在移动设备重启或应用程序重启时重置为零。
在 CloudScam 应用程序“BTC Cash”中,GHash/sec 只是计数器,计数到 10 后会重置为零,不会启动云服务的任何活动
支付活动
如前所述,BitScam 用户可以选择购买“虚拟硬件”提高开采速度。从 开始,虚拟硬件的成本12.99 美元到 259.99 美元可以通过 Google Play 也可以通过将比特币和/或以太坊购买(BCH/BTC 和/或 ETH)将钱包转移到开发人员购买。
BitScam 应用程序的设计目的是让用户在达到最低余额之前“不允许”提取任何货币。正如一些应用商店评论所指出的,即使有人达到了最低余额,他们也无法提取货币。该应用程序将显示一条信息,告诉用户提款交易需要处理,但在幕后,它只将用户的货币余额重置为零,而不将任何资金转移给用户。
其他应用程序经常重置用户的货币余额,以防止他们达到最低余额。重置可能发生在移动设备重启、用户注销或应用程序崩溃时。
下屏截图显示 CloudScam 应用程序中的提款功能。BitScam 同样,也不可能提款。无论货币余额如何,只要用户决定提取货币,他们都会收到错误的消息,告诉他们余额不足。
一个BitScam显示应用程序“虚拟硬件”升级承诺用户提高挖掘速度
Cloud Scam 应用程序“BTC Cash”可防止用户提取加密货币余额
与 BitScam 类似,CloudScam 应用程序为用户提供了以更高的速度赚取更多货币的选择,例如“升级”对于最低提款余额低、采矿费率高的订阅计划,推荐朋友,赚取朋友收入“20%” ,以及每日奖励。这些选项不会为用户赚钱。相反,它们会给这些应用程序背后的骗子带来更多的收入。
BitScam 应用程序“Bito Holic”和 CloudScam 应用程序“BTC Cash”中提供的虚假升级的屏幕截图
恶意攻击者对挖矿用户的攻击热潮即将到来
虽然 CloudScam 和 BitScam 应用程序已从 开始Google Play 被删除,但仍有数十个应用程序仍在第三方应用商店流通。运营商至少赚了35万美元,从销售虚假应用程序中窃取了30万美元,并从支付虚假升级和服务的受害者那里窃取了5万美元的加密货币。
在线购买商品或服务总是需要在一定程度上信任供应商或至少处理交易的应用商店。虽然这适用于任何在线交易,但对于加密货币投资和其他金融服务更为重要。
购买加密挖掘应用程序时的五个注意事项
1.了解应用程序背后的开发者,他们有什么证书或资格证书,他们开发了什么其他应用程序,公司是否有网站,可以联系他们;
2.虽然很难找到从官方应用商店安装的骗局,但从官方商店下载可以降低下载恶意软件的风险;
3.阅读条款和条件,大多数欺诈应用要么包含虚假信息,要么没有;
4.参考其他用户对应用程序的评论;
5.了解应用程序的权限和活动,并在应用程序的活动中找到危险信号。应用程序需要它不需要运行的权限吗?应用程序是否会突然崩溃或重置,加密货币余额是否会突然重置,显示的数字是否有意义?
如果一笔交易令人难以置信,那么它很可能不是真的。
左图: CloudScam 应用程序要求用户开始“挖掘”以前从开发人员那里安装过其他应用程序。原因是让用户证明他们是人类。右图:虽然欺诈者使用虚假评论来提高他们应用程序的整体评分,但真实的用户评论可以揭示很多关于这些应用程序的信息。
本文翻译自:https://blog.lookout.com/lookout-unearths-android-crypto-mining-scams若转载,请注明原文地址。