在COVID-19大流行期间,加密货币的估值呈指数级增长,市值超过2万亿美元。自然地,加密货币现在成为攻击者的目标。Lookout威胁实验室的安全研究人员已经确定了170多个Android应用程序,其中包括25个GooglePlay应用程序,这些应用程序可以欺骗对加密货币感兴趣的用户。其中许多应用程序在全球范围内可用,并且这些应用程序中的每一个都将自己宣传为收费的云加密货币挖掘服务。在分析它们之后,研究人员发现实际上并没有进行云货币挖矿。为了保护Android用户,谷歌立即从GooglePlay中删除了这些应用。这些应用程序都通过合法的支付流程从用户那里窃取资金,但从未提供承诺的服务。根据研究人员的分析,他们共诈骗了超过93,000人,在用户购买应用程序并购买额外的虚假升级和服务时,至少骗取了350,000美元。研究人员将这些应用程序分为两个不同的系列,他们将其命名为BitScam和CloudScam。尽管这两个家族在技术上有所不同,但所有应用程序都使用相似的商业模式,这表明多个犯罪分子以相同的方式建立了针对用户的竞争业务。大多数恶意软件执行的代码会执行一些明显的恶意活动,例如将私人信息泄露到命令和控制服务器、在应用程序上下文之外显示广告或发送付费短信。BitScam和CloudScam应用程序在防病毒监视下运行的原因是它们不会做任何真正恶意的事情。事实上,他们几乎什么都不做。它们只是为不存在的服务骗钱的工具。研究人员在GooglePlay上找到了一个示例CloudScam应用程序和一个示例BitScam应用程序。加密货币挖矿技术让诈骗变得更加容易。加密货币挖矿,又称加密货币挖矿,是利用计算机的处理能力来解决验证加密货币交易的复杂数学问题。然后,矿工将获得少量加密货币作为奖励。一种常见的挖矿策略被称为矿池,其中个人贡献计算能力以按其贡献的比例接收加密货币。作为回报。云挖矿是矿池的进化,就像云计算是本地数据中心计算的进化一样。云矿工租用云计算能力,而不是用户购买硬件并支付巨额电费为云计算池做贡献。云挖矿既带来了便利,也带来了网络安全风险。由于云计算的简单性和敏捷性,可以快速轻松地设置一个看起来真实但实际上是骗局的加密挖矿服务。网络罪犯已经建立了类似的方案来从桌面用户那里窃取信息,Lookout威胁实验室团队发现了第一个将此方案打包到移动应用程序中的骗局。BitScam和CloudScam如何运作?虽然合法的云挖矿业务可以使用移动应用程序作为其仪表板,但该应用程序可能具有高质量代码并遵循安全编码实践。我们的应用程序分析揭示了一种令人不安的模式。尽管据说代表了许多不同的挖矿操作,但所有分析的应用程序共享非常相似的代码和设计,如下所述。为了说明这些应用程序有多么简单,BitScam应用程序是使用不需要编程经验的框架创建的。大多数BitScam和CloudScam应用程序都是付费的。这意味着攻击者可以从这些应用销售中获利。CloudScam和BitScam还提供与加密挖矿相关的订阅和服务,用户可以通过GooglePlay应用内付费系统支付。BitScam的不同之处在于它的应用程序还接受比特币和以太币作为支付选项。GooglePlay上的各种BitScam和CloudScam应用虚拟赚钱活动成功登录后,用户会看到一个活动仪表板,显示可用的哈希率以及他们“赚取”了多少硬币。显示的哈希率通常非常低,以吸引用户购买承诺更快挖矿率的升级。这是BitScam和CloudScam的项目,旨在通过销售应用内升级、额外订阅和服务来赚取更多收入。如果云挖矿确实发生在BitScam或CloudScam上,用户会将他们希望显示的货币数量存储在安全的云数据库中,并通过API查询。在分析代码和网络流量后,研究人员发现这些应用程序显示的是虚拟货币余额,而不是开采的货币数量。显示的值只是一个在应用程序中缓慢递增的计数器。在分析的一些应用程序中,研究人员观察到只有当应用程序位于前台时才会发生这种情况,并且通常会在移动设备重启或应用程序重新启动时重置为零。在CloudScam应用程序“BTCCash”中,GHash/sec只是一个在计数到10后重置为零的计数器,这不会从云服务启动任何活动支付活动如前所述,BitScam用户可以选择购买“虚拟硬件”以提高挖矿速度。虚拟硬件的价格从12.99美元到259.99美元不等,可以通过GooglePlay或通过将比特币和/或以太坊(BCH/BTC和/或ETH)转移到开发者的钱包来购买。BitScam应用程序旨在让用户在达到最低余额之前“不允许”提取任何货币。正如一些应用商店的评论所指出的,即使有人达到了最低余额,他们也不能提币。该应用程序显示一条消息,告诉用户取款交易正在处理中,但在幕后,它只是将用户的货币余额重置为零,而不向用户转移任何资金。其他一些应用程序经常重置用户的货币余额,以防止他们达到最低余额。当移动设备重新启动、用户注销或应用程序崩溃时,可能会发生重置。下面的屏幕截图显示了CloudScam应用程序中的取款功能。就像BitScam一样,提款是不可能的。无论货币余额如何,每当用户决定提取货币时,他们都会收到一条错误消息,告知他们余额不足。BitScam应用程序显示“虚拟硬件”升级,承诺用户提高挖矿速度CloudScam应用程序“BTCCash”阻止用户提取其加密货币余额与BitScam类似,CloudScam应用程序为用户提供赚取更多货币的选项,例如“升级”订阅计划具有较低的最低提款余额和较高的采矿率,推荐朋友并赚取他们收入的“20%”,以及每日奖励。这些选项都不会为用户赚取硬币。相反,它们为这些应用程序背后的骗子创造了更多收入。BitScam应用程序“BitoHolic”和CloudScam应用程序“BTCCash”中可用的虚假升级截图恶意攻击者瞄准挖矿用户尽管CloudScam和BitScam应用程序现在已从GooglePlay中删除,但它们仍然有数十个应用程序仍在第三方流通-派对应用商店。运营商总共赚取了至少350,000美元,通过销售假冒应用程序窃取了300,000美元,并从支付虚假升级和服务费用的受害者那里窃取了50,000美元的加密货币。在线购买商品或服务总是需要对供应商或至少是处理交易的应用程序商店有一定程度的信任。虽然这对于任何在线交易都是如此,但在涉及加密货币投资等金融服务时更为重要。购买加密挖矿应用程序时的五个注意事项1.了解应用程序背后的开发人员,他们有什么证书或资格,他们开发了哪些其他应用程序,公司是否有网站,是否可以联系到他们;2.从官方应用程序安装商店,虽然很难发现诈骗,但从官方商店下载可以降低下载恶意软件的风险;3.阅读条款和条件,大多数诈骗应用要么包含虚假信息,要么没有任何可用条款;4.参考其他用户对该应用的评论;5.了解应用程序的权限和活动,寻找应用程序活动中的危险信号。该应用程序是否请求它不需要运行的权限?应用程序是否突然崩溃或重置,加密货币余额是否突然重置,显示的数字是否有意义?如果交易好得令人难以置信,那很可能不是。危险信号示例:左:其中一个CloudScam应用程序要求用户先安装开发人员提供的其他应用程序,然后才能开始“挖掘”。在这种情况下的原因是让用户证明他们是人。右:虽然诈骗者使用虚假评论来提高他们应用的整体评分,但真实的用户评论可以揭示这些应用的很多信息。本文翻译自:https://blog.lookout.com/lookout-unearths-android-crypto-mining-scams如有转载请注明原文地址。
