Lookout發現Android加密挖礦騙局
在新冠疫情大流行期間,加密貨幣的估值呈指數增長,市值超過2萬億美元。自然而然,加密貨幣現在就成了攻擊者的目標。
Lookout威脅實驗室(Lookout Threat Lab)的安全研究人員已經確認了170多個Android應用程序,其中包括25個谷歌Play應用程序,它們會欺騙對加密貨幣感興趣的用戶。其中許多應用在全球范圍內都可以使用,這些應用程序都標榜自己提供收費的云加密貨幣挖掘服務。在對它們進行分析后,研究人員發現實際上并沒有進行云貨幣挖掘。
為了保護Android用戶,Google 立即從 Google Play 中刪除了這些應用。
這些應用程序全部是通過合法的支付流程從用戶那里竊取資金,但從不提供承諾的服務。根據研究人員的分析,他們詐騙了超過9.3萬人,在用戶購買應用程序和購買額外的虛假升級和服務時,詐騙了至少35萬美元。
研究人員將這些應用程序分為兩個不同的家族,并將其命名為 BitScam 和 CloudScam。
盡管這兩個家族在技術上有所不同,但所有的應用程序都使用了類似的商業模式,這表明多個犯罪分子以相同的方式建立了瞄準用戶的競爭業務。
大多數惡意軟件執行的代碼會執行一些明顯的惡意活動,例如將私人信息泄露到命令和控制服務器、在應用程序上下文之外顯示廣告或發送優質短信。
使BitScam和CloudScam應用程序能夠在殺毒軟件監控下運行的原因是,它們不做任何真正惡意的事情。事實上,他們幾乎什么都不做。他們只是為不存在的服務詐騙資金的工具。
研究人員在 Google Play 上找到的 CloudScam 應用程序示例和 BitScam 應用程序示例
加密挖礦技術的發展使得詐騙變得更加容易
加密貨幣挖礦(又稱加密貨幣挖礦)是利用計算機的處理能力來解決驗證加密貨幣交易的復雜數學問題,然后礦工將獲得少量加密貨幣作為獎勵,一種常見的挖掘策略被稱為挖礦池,在這里,個人可以貢獻計算能力,以獲得與他們貢獻成比例的加密貨幣作為回報。
云挖掘是礦池的演變,就像云計算是本地數據中心計算的演變一樣。云礦工租用云計算能力,而不是用戶購買硬件和支付巨額電費來為云計算池捐款。
云挖掘既帶來了便利性,也帶來了網絡安全風險。由于云計算的簡單和敏捷性,它可以快速和容易地建立一個看起來真實但實際上是一個騙局的加密挖掘服務。網絡犯罪分子已經建立了類似的計劃來竊取桌面用戶,Lookout威脅實驗室團隊已經發現了第一個將該計劃打包到移動應用程序的騙局。
BitScam和CloudScam是如何運作的?
雖然合法的云挖掘業務可以使用移動應用程序作為其儀表盤,但該應用程序可能有高質量的代碼,并遵循安全的編碼實踐。我們的應用分析揭示了一個令人不安的模式。盡管據說代表了許多不同的挖掘操作,但所有分析的應用程序都共享非常相似的代碼和設計,下文將對此進行解釋。為了說明這些應用程序是多么簡單,BitScam應用程序是使用不需要編程經驗的框架創建的。
大多數 BitScam 和 CloudScam 應用程序是付費的。這意味著攻擊者從這些應用程序銷售中獲利。 CloudScam 和 BitScam 還提供與加密挖掘相關的訂閱和服務,用戶可以通過 Google Play 應用內計費系統支付這些費用。 BitScam 的不同之處在于它的應用程序還接受比特幣和以太坊作為支付選項。
Google Play 上的各種 BitScam 和 CloudScam 應用程序
虛構的收入活動
成功登錄后,用戶會看到一個活動儀表盤,上面顯示了可用的哈希挖掘率以及他們“賺到了”多少金幣。顯示的哈希率通常非常低,以吸引用戶購買承諾更快挖掘率的升級。這是 BitScam 和 CloudScam 通過銷售應用內升級、額外訂閱和服務賺取更多收入的項目。
如果云挖礦實際發生在BitScam或CloudScam,用戶將期望顯示的貨幣數量存儲在一個安全的云數據庫中,并通過API查詢。在分析代碼和網絡流量后,研究人員發現這些應用程序顯示的是虛構的貨幣余額,而不是挖出的貨幣數量。顯示的值只是一個在應用程序中緩慢遞增的計數器。在分析的一些應用程序中,研究人員觀察到這種情況僅在應用程序在前臺運行時發生,并且經常在移動設備重新啟動或應用程序重新啟動時被重置為零。
在 CloudScam 應用程序“BTC Cash”中,GHash/sec 只是一個計數器,在計數到 10 后會重置為零,這不會啟動來自云服務的任何活動
支付活動
如前所述,BitScam 用戶可以選擇購買“虛擬硬件”以提高挖礦速度。虛擬硬件的成本從 12.99 美元到 259.99 美元不等,可以通過 Google Play 購買,也可以通過將比特幣和/或以太坊(BCH/BTC 和/或 ETH)轉移到開發人員的錢包來購買。
BitScam 應用程序的設計目的是讓用戶在達到最低余額之前“不允許”提取任何貨幣。正如一些應用商店評論所指出的那樣,即使有人達到了最低余額,他們也無法提取貨幣。該應用程序會顯示一條消息,告訴用戶提款交易待處理,但在幕后,它只是將用戶的貨幣余額重置為零,而不會向用戶轉移任何資金。
其他一些應用程序經常重置用戶的貨幣余額,以防止他們達到最低余額。當移動設備重新啟動、用戶注銷或應用程序崩潰時,可能會發生重置。
下面的屏幕截圖顯示了 CloudScam 應用程序中的提款功能。就像 BitScam 一樣,提款是不可能的。無論貨幣余額如何,只要用戶決定提取貨幣,他們都會收到一條錯誤消息,告訴他們他們的余額不足。
一個BitScam應用程序顯示“虛擬硬件”升級,承諾用戶提高挖掘速度
Cloud Scam 應用程序“BTC Cash”可防止用戶提取其加密貨幣余額
與 BitScam 類似,CloudScam 應用程序為用戶提供了以更高的速度賺取更多貨幣的選項,例如“升級”到最低提款余額較低且挖礦費率較高的訂閱計劃,推薦朋友并賺取朋友收入的“20%” ,以及每日獎勵。這些選項都不會為用戶賺取金幣。相反,它們會為這些應用程序背后的騙子帶來更多收入。
BitScam 應用程序“Bito Holic”和 CloudScam 應用程序“BTC Cash”中提供的虛假升級的屏幕截圖
惡意攻擊者對挖礦用戶的攻擊熱潮到來
雖然 CloudScam 和 BitScam 應用程序現已從 Google Play 中刪除,但仍有數十個應用程序仍在第三方應用程序商店中流通。運營商總共至少賺了35萬美元,他們從銷售虛假應用程序中竊取了30萬美元,并從支付虛假升級和服務的受害者那里竊取了5萬美元的加密貨幣。
在線購買商品或服務總是需要對供應商或至少是處理交易的應用商店有一定程度的信任。雖然這對任何在線交易都適用,但對于加密貨幣投資等金融服務而言,這一點甚至更為重要。
購買加密挖掘應用程序時的五個注意事項
1.了解應用程序背后的開發者,他們有什么證書或資格證書,他們開發了什么其他應用程序,該公司是否有網站,能否與他們聯系;
2.從官方應用商店安裝,雖然騙局很難被發現,但從官方商店下載可以降低你下載惡意軟件的風險;
3.閱讀條款和條件,大多數詐騙應用程序要么包含虛假信息,要么沒有任何可用條款;
4.參考其他用戶對該應用程序的評論;
5.了解應用程序的權限和活動,在應用程序的活動中尋找危險信號。應用程序是否要求它不需要運行的權限?應用程序是否會突然崩潰或重置,加密貨幣余額是否會突然重置,顯示的數字是否有意義?
如果一筆交易好得令人難以置信,那它很可能就不是真的。
危險信號示例:左圖:其中一個 CloudScam 應用程序要求用戶在開始“挖掘”之前安裝來自開發人員的其他應用程序。這種情況下的原因是讓用戶證明他們是人類。右圖:雖然詐騙者使用虛假評論來提高他們應用的整體評分,但真實的用戶評論可以揭示很多關于這些應用的信息。
本文翻譯自:https://blog.lookout.com/lookout-unearths-android-crypto-mining-scams如若轉載,請注明原文地址。
