|研究人员2021年7月7日


2021年7月7日

Lookout发现Android加密挖矿骗局

经过Ioannis gaspari

加密货币,一旦独家领域的理想主义边缘运动,最近对主流零售投资者具有吸引力。在Covid-19大流行期间,加密货币的估值指数增长,达到超过2万亿美元的市场资本化。网络犯罪分子总是在寻找最少抵抗金钱和加密货币的道路现在处于十字准备状态。

安全研究人员注意威胁实验室已经确定了超过170个Android应用程序,其中包括25个Google Play,欺骗对密码货币感兴趣的人。这些应用程序在全球范围内提供了许多,这些应用程序将自己宣传为提供云加密货币挖掘服务费用。yabo电竞投注在分析它们后,我们发现没有实际发生云加密挖掘。

为了保护Android用户,谷歌立即将这些应用从谷歌Play中删除。的客户监视移动端点安全性广阔个人数字安全受到这些威胁的保护。

应用程序的整个存在的理由就是通过合法的支付流程从用户那里偷钱,却从来不提供承诺的服务。根据我们的分析,他们欺骗了超过9.3万人,在用户购买应用程序和购买额外的虚假升级和服务时,他们偷走了至少35万美元。yabo电竞投注1

我们把这些应用程序分为两个不同的家族,我们已经命名为BitScam和CloudScam。

尽管这两个家庭之间的技术区分,但所有的应用程序都使用类似的商业模式,表明多个犯罪行为者以同样的方式设置竞争对手的竞争对手。

大多数恶意软件执行执行一些明显恶意活动的代码,例如漏出私人信息到命令控制服务器,显示广告在应用程序的上下文之外或发送高级短信。

在雷达下飞行的Bitscam和CloudScam应用程序的启用是什么,他们不会做任何事实恶意。事实上,他们几乎没有做任何事情。它们只是贝壳,用于收集不存在的服务的资金。yabo电竞投注


我们在Google Play上找到的CloudScam应用程序(上图)和BitsCam应用程序(下面)。


Crypto Mining的演变使得诈骗更容易

加密货币挖矿(AKA - crypto mining)利用计算机的处理能力来解决验证加密货币交易的复杂数学问题,然后矿工将获得少量加密货币作为奖励。2常见的采矿策略称为挖掘池,个人可以贡献计算能力,以便获得与他们所贡献的内容成正比的加密货币。

云挖掘是矿池的演变,就像云计算是本地数据中心计算的演变一样。云矿工租用云计算能力,而不是用户购买硬件和支付巨额电费来为云计算池捐款。

云挖掘既带来了便利性,也带来了网络安全风险。由于云计算的简单和敏捷性,它可以快速和容易地建立一个看起来真实但实际上是一个骗局的加密挖掘服务。网络罪犯已经建立了类似的计划从桌面用户那里偷东西,Lookout威胁实验室团队发现了第一个将该计划打包到移动应用程序的骗局。

BitScam和CloudScam是如何运作的

虽然合法的云挖掘业务可以使用移动应用程序作为其仪表盘,但该应用程序可能有高质量的代码,并遵循安全的编码实践。我们的应用分析揭示了一个令人不安的模式。尽管据说代表了许多不同的挖掘操作,但所有分析的应用程序都共享非常相似的代码和设计,下文将对此进行解释。为了说明这些应用程序是多么简单,BitScam应用程序是使用不需要编程经验的框架创建的。

大多数BitsCam和CloudScam应用程序都支付。这意味着威胁演员将钱从那些应用程序销售中掏出来。CloudScam和Bitscam都提供了与加密挖掘有关的订阅和服务yabo电竞投注用户可以通过谷歌Play应用内置计费系统进行支付。BitScam的不同之处在于,它的应用程序也接受比特币和以太坊作为支付选项。


谷歌上的各种BitScam和CloudScam应用程序。


虚构的盈利活动

成功登录后,用户会看到一个活动仪表板,上面显示了可用的哈希挖掘率以及他们“赚到了”多少金币。显示的散列率通常很低,以吸引用户购买承诺更快挖掘率的升级。这就是BitScam和CloudScam通过出售应用内升级、额外订阅和服务赚更多钱的地方。yabo电竞投注

如果云挖矿实际发生在BitScam或CloudScam,我们将期望显示的硬币数量存储在一个安全的云数据库中,并通过API查询。在分析代码和网络流量后,我们发现这些应用程序显示的是一个虚拟的货币余额,而不是挖出的货币数量。显示的值只是在应用程序中缓慢增加的一个计数器。在分析的一些应用程序中,我们观察到这种情况只发生在应用程序在前台运行时,并且经常在移动设备重新启动或应用程序重新启动时被重置为零。


在CloudScam应用程序“比特币现金”中,gash /sec仅仅是一个计数器,在数到10后重置为零。这不会从云服务启动任何活动。yabo电竞投注


支付活动

如前所述,BitsCam用户可以选择购买“虚拟硬件”以增加挖掘速率。虚拟硬件的成本范围为12.99美元 - $ 259.99,并可通过Google Play或通过将比特币和/或以外别墅(BCH / BTC和/或ETH)转移到开发人员的钱包来购买。

BITSCAM应用程序被设计成使用户不会“允许”撤回任何硬币,直到它们达到最低余额。即使有人达到了最低余额,他们将无法撤销硬币,如一些App商店所指出的那样。该应用程序将显示一条消息,告诉用户提款交易待处理,但在幕后,它只是将用户的硬币平衡量重置为零,而不将任何资金转移到用户。

其他一些应用程序重置用户的硬币平衡,试图防止它们达到最低余额。在移动设备重新启动时,可以发生重置,用户注销或应用程序崩溃。

下面的截图显示了CloudScam应用程序内的取款功能。就像BitScam,取款是永远不可能的。不管硬币余额如何,当用户决定提取硬币时,他们都会收到一个错误消息,告诉他们余额不足。


一个BitScam应用程序显示“虚拟硬件”升级,承诺用户提高挖掘速度。


云骗局应用程序“BTC现金”阻止用户提取他们的加密货币余额。


与BitScam类似,CloudScam应用程序为用户提供了以更高的速度赚取更多硬币的选项,如“升级”到一个订阅计划,最低提款余额更低,挖矿率更高,推荐朋友并赚取他们朋友收入的“20%”,以及每日奖励。这些选项都不能为用户赚取金币。相反,它们为这些应用背后的骗子创造了更多的收入。


Bitscam应用程序“Bito Holic”和CloudScam应用程序“BTC Cash”提供的假升级屏幕截图。


不劳而获:恶意行为者利用加密狂热

虽然CloudScam和Bitscam应用程序现已从Google Play中删除,但在第三方应用商店中有很多仍在分发。总的来说,运营商至少为350,000美元生产。他们偷了300,000美元从销售假的应用程序,并在支付假升级和服务的受害者中额外的50,000美元。yabo电竞投注1

在线购买商品或服务总是需要对供应商或至少yabo电竞投注是处理交易的应用商店有一定程度的信任。虽然这对任何在线交易都适用,但对于加密货币投资等金融服务而言,这一点甚至更为重要。yabo电竞投注

实施该计划的骗子能够利用火热的加密货币市场造成的现有狂热。但无论加密货币的估值攀升到多高,在购买加密货币挖矿应用程序之前,没有什么可以替代适当的尽职调查。

购买加密挖矿应用时的五项注意事项

谈到发现加密货币诈骗者时,最重要的一步是遵循以下五项建议。

  1. 知道应用背后的开发人员。他们拥有哪些证书或凭据,他们构建的其他应用程序,该公司是否拥有一个网站,您可以联系它们吗?
  2. 从官方应用商店安装.虽然骗局很难被发现,但从官方商店下载可以降低你下载恶意软件的风险。

  3. 阅读条款和条件。大多数诈骗软件要么有虚假信息,要么没有任何可用的条款。

  4. 为了你的利益,使用其他用户对应用的评论。在识别诈骗时,阅读其他用户使用该应用程序的经历可以让你大开眼界。
  5. 了解应用程序的权限和活动.在应用程序的活动中寻找危险信号。应用程序是否在请求它不需要运行的权限?应用程序崩溃或突然重置,加密货币余额突然重置,显示的数字有意义吗?

花点时间,如果交易太好了,它可能不是真实的。


Red Flag示例:left:其中一个CloudScam应用程序要求用户在甚至开始“挖掘”之前从开发人员安装其他应用程序。在这种情况下的原因是用户证明他们是人类的。对:虽然诈骗者使用假审查来提高他们的应用程序的整体评级,但真正的用户评论可以揭示一些应用程序。


免责声明

本报告中提供的信息基于发现的工具和方法,这些方法和方法本质上是不完美的,尽管我们的信仰是本报告中的信息在发布时准确,但与所有故障一起提供的信息“按”原样“,并查看Inc.,对其准确性或完整性的不承担任何责任,或者一个人的使用或依赖于其中所含的信息。

附录A:妥协指标

1这30万美元是根据购买应用程序的成本乘以CloudScam和BitScam应用程序安装总数计算得出的。5万美元是根据以太坊和比特币的市场价格(截至2021年6月)以及受害者支付的每种货币的数量计算出来的。根据这些应用程序的安装数量,估计有93,000名受害者。

2https://www.cyber.gov.au/acsc/view-all-content/threats/cryptomining

看看现在如何保护你的智能手机和平板电脑

请求一个演示call_made

免费试用call_made

联系销售call_made


作者

Ioannis gaspari
员工安全智能工程师