Lookout发现Android加密挖矿骗局
2021-07-15
来源:关键基础设施安全应急响应中心
在新冠疫情大流行期间,加密货币的估值呈指数增长,市值超过2万亿美元。自然而然,加密货币现在就成了攻击者的目标。
Lookout威胁实验室(Lookout Threat Lab)的安全研究人员已经确认了170多个Android应用程序,其中包括25个谷歌Play应用程序,它们会欺骗对加密货币感兴趣的用户。其中许多应用在全球范围内都可以使用,这些应用程序都标榜自己提供收费的云加密货币挖掘服务。在对它们进行分析后,研究人员发现实际上并没有进行云货币挖掘。
为了保护Android用户,Google 立即从 Google Play 中删除了这些应用。
这些应用程序全部是通过合法的支付流程从用户那里窃取资金,但从不提供承诺的服务。根据研究人员的分析,他们诈骗了超过9.3万人,在用户购买应用程序和购买额外的虚假升级和服务时,诈骗了至少35万美元。
研究人员将这些应用程序分为两个不同的家族,并将其命名为 BitScam 和 CloudScam。
尽管这两个家族在技术上有所不同,但所有的应用程序都使用了类似的商业模式,这表明多个犯罪分子以相同的方式建立了瞄准用户的竞争业务。
大多数恶意软件执行的代码会执行一些明显的恶意活动,例如将私人信息泄露到命令和控制服务器、在应用程序上下文之外显示广告或发送优质短信。
使BitScam和CloudScam应用程序能够在杀毒软件监控下运行的原因是,它们不做任何真正恶意的事情。事实上,他们几乎什么都不做。他们只是为不存在的服务诈骗资金的工具。
研究人员在 Google Play 上找到的 CloudScam 应用程序示例和 BitScam 应用程序示例
加密挖矿技术的发展使得诈骗变得更加容易
加密货币挖矿(又称加密货币挖矿)是利用计算机的处理能力来解决验证加密货币交易的复杂数学问题,然后矿工将获得少量加密货币作为奖励,一种常见的挖掘策略被称为挖矿池,在这里,个人可以贡献计算能力,以获得与他们贡献成比例的加密货币作为回报。
云挖掘是矿池的演变,就像云计算是本地数据中心计算的演变一样。云矿工租用云计算能力,而不是用户购买硬件和支付巨额电费来为云计算池捐款。
云挖掘既带来了便利性,也带来了网络安全风险。由于云计算的简单和敏捷性,它可以快速和容易地建立一个看起来真实但实际上是一个骗局的加密挖掘服务。网络犯罪分子已经建立了类似的计划来窃取桌面用户,Lookout威胁实验室团队已经发现了第一个将该计划打包到移动应用程序的骗局。
BitScam和CloudScam是如何运作的?
虽然合法的云挖掘业务可以使用移动应用程序作为其仪表盘,但该应用程序可能有高质量的代码,并遵循安全的编码实践。我们的应用分析揭示了一个令人不安的模式。尽管据说代表了许多不同的挖掘操作,但所有分析的应用程序都共享非常相似的代码和设计,下文将对此进行解释。为了说明这些应用程序是多么简单,BitScam应用程序是使用不需要编程经验的框架创建的。
大多数 BitScam 和 CloudScam 应用程序是付费的。这意味着攻击者从这些应用程序销售中获利。CloudScam 和 BitScam 还提供与加密挖掘相关的订阅和服务,用户可以通过 Google Play 应用内计费系统支付这些费用。BitScam 的不同之处在于它的应用程序还接受比特币和以太坊作为支付选项。
Google Play 上的各种 BitScam 和 CloudScam 应用程序
虚构的收入活动
成功登录后,用户会看到一个活动仪表盘,上面显示了可用的哈希挖掘率以及他们“赚到了”多少金币。显示的哈希率通常非常低,以吸引用户购买承诺更快挖掘率的升级。这是 BitScam 和 CloudScam 通过销售应用内升级、额外订阅和服务赚取更多收入的项目。
如果云挖矿实际发生在BitScam或CloudScam,用户将期望显示的货币数量存储在一个安全的云数据库中,并通过API查询。在分析代码和网络流量后,研究人员发现这些应用程序显示的是虚构的货币余额,而不是挖出的货币数量。显示的值只是一个在应用程序中缓慢递增的计数器。在分析的一些应用程序中,研究人员观察到这种情况仅在应用程序在前台运行时发生,并且经常在移动设备重新启动或应用程序重新启动时被重置为零。
在 CloudScam 应用程序“BTC Cash”中,GHash/sec 只是一个计数器,在计数到 10 后会重置为零,这不会启动来自云服务的任何活动
支付活动
如前所述,BitScam 用户可以选择购买“虚拟硬件”以提高挖矿速度。虚拟硬件的成本从 12.99 美元到 259.99 美元不等,可以通过 Google Play 购买,也可以通过将比特币和/或以太坊(BCH/BTC 和/或 ETH)转移到开发人员的钱包来购买。
BitScam 应用程序的设计目的是让用户在达到最低余额之前“不允许”提取任何货币。正如一些应用商店评论所指出的那样,即使有人达到了最低余额,他们也无法提取货币。该应用程序会显示一条消息,告诉用户提款交易待处理,但在幕后,它只是将用户的货币余额重置为零,而不会向用户转移任何资金。
其他一些应用程序经常重置用户的货币余额,以防止他们达到最低余额。当移动设备重新启动、用户注销或应用程序崩溃时,可能会发生重置。
下面的屏幕截图显示了 CloudScam 应用程序中的提款功能。就像 BitScam 一样,提款是不可能的。无论货币余额如何,只要用户决定提取货币,他们都会收到一条错误消息,告诉他们他们的余额不足。
一个BitScam应用程序显示“虚拟硬件”升级,承诺用户提高挖掘速度
Cloud Scam 应用程序“BTC Cash”可防止用户提取其加密货币余额
与 BitScam 类似,CloudScam 应用程序为用户提供了以更高的速度赚取更多货币的选项,例如“升级”到最低提款余额较低且挖矿费率较高的订阅计划,推荐朋友并赚取朋友收入的“20%” ,以及每日奖励。这些选项都不会为用户赚取金币。相反,它们会为这些应用程序背后的骗子带来更多收入。
BitScam 应用程序“Bito Holic”和 CloudScam 应用程序“BTC Cash”中提供的虚假升级的屏幕截图
恶意攻击者对挖矿用户的攻击热潮到来
虽然 CloudScam 和 BitScam 应用程序现已从 Google Play 中删除,但仍有数十个应用程序仍在第三方应用程序商店中流通。运营商总共至少赚了35万美元,他们从销售虚假应用程序中窃取了30万美元,并从支付虚假升级和服务的受害者那里窃取了5万美元的加密货币。
在线购买商品或服务总是需要对供应商或至少是处理交易的应用商店有一定程度的信任。虽然这对任何在线交易都适用,但对于加密货币投资等金融服务而言,这一点甚至更为重要。
购买加密挖掘应用程序时的五个注意事项
1.了解应用程序背后的开发者,他们有什么证书或资格证书,他们开发了什么其他应用程序,该公司是否有网站,能否与他们联系;
2.从官方应用商店安装,虽然骗局很难被发现,但从官方商店下载可以降低你下载恶意软件的风险;
3.阅读条款和条件,大多数诈骗应用程序要么包含虚假信息,要么没有任何可用条款;
4.参考其他用户对该应用程序的评论;
5.了解应用程序的权限和活动,在应用程序的活动中寻找危险信号。应用程序是否要求它不需要运行的权限?应用程序是否会突然崩溃或重置,加密货币余额是否会突然重置,显示的数字是否有意义?
如果一笔交易好得令人难以置信,那它很可能就不是真的。
危险信号示例:左图:其中一个 CloudScam 应用程序要求用户在开始“挖掘”之前安装来自开发人员的其他应用程序。这种情况下的原因是让用户证明他们是人类。右图:虽然诈骗者使用虚假评论来提高他们应用的整体评分,但真实的用户评论可以揭示很多关于这些应用的信息。