Lookout 发现 Android 加密货币挖矿诈骗

在 COVID-19 大流行期间，加密货币的估值呈指数增长，市值超过 2 万亿美元。 自然地，加密货币现在成为攻击者的目标。

Lookout 威胁实验室的安全研究人员已经确定了 170 多个 Android 应用程序，其中包括 25 个 Google Play 应用程序，这些应用程序可以欺骗对加密货币感兴趣的用户。 其中许多应用程序在全球范围内可用，并且这些应用程序中的每一个都将自己宣传为收费的云加密货币挖掘服务。 在分析它们之后，研究人员发现实际上并没有进行云货币挖矿。

为了保护 Android 用户，谷歌立即从 Google Play 中删除了这些应用。

这些应用程序都通过合法的支付流程从用户那里窃取资金，但从未提供承诺的服务。 根据研究人员的分析，他们共诈骗了超过 93,000 人，在用户购买应用程序并购买额外的虚假升级和服务时，至少骗取了 350,000 美元。

研究人员将这些应用程序分为两个不同的系列，他们将其命名为 BitScam 和 CloudScam。

尽管这两个家族在技术上有所不同，但所有应用程序都使用相似的商业模式，这表明多个犯罪分子以相同的方式建立了针对用户的竞争业务。

大多数恶意软件执行的代码会执行一些明显的恶意活动，例如将私人信息泄露到命令和控制服务器、在应用程序上下文之外显示广告或发送付费短信。

BitScam 和 CloudScam 应用程序在防病毒监视下运行的原因是它们不会做任何真正恶意的事情。 事实上，他们几乎什么都不做。 它们只是为不存在的服务骗钱的工具。

研究人员在 Google Play 上找到的示例 CloudScam 应用程序和示例 BitScam 应用程序

加密货币挖矿的进步使诈骗更容易

加密货币挖掘（也称为加密货币挖掘）是利用计算机处理能力来解决验证加密货币交易的复杂数学问题。 然后，矿工将获得少量加密货币作为奖励。 一种常见的挖矿策略被称为矿池，个人可以贡献计算能力以换取与其贡献成比例的加密货币。

云挖矿是矿池的进化，就像云计算是本地数据中心计算的进化一样。 云矿工租用云计算能力，而不是用户购买硬件并支付巨额电费为云计算池做贡献。

云挖矿既带来了便利，也带来了网络安全风险。 由于云计算的简单性和敏捷性，可以快速轻松地设置一个看起来真实但实际上是骗局的加密挖矿服务。 网络罪犯已经建立了类似的方案来从桌面用户那里窃取信息，Lookout 威胁实验室团队发现了第一个将此方案打包到移动应用程序中的骗局。

BitScam 和 CloudScam 如何运作？

虽然合法的云挖矿业务可以使用移动应用程序作为其仪表板，但该应用程序可能具有高质量代码并遵循安全编码实践。 我们的应用程序分析揭示了一种令人不安的模式。 尽管据说代表了许多不同的挖矿操作，但所有分析的应用程序共享非常相似的代码和设计，如下所述。 为了说明这些应用程序有多么简单，BitScam 应用程序是使用不需要编程经验的框架创建的。

大多数 BitScam 和 CloudScam 应用程序都是付费的。 这意味着攻击者可以从这些应用销售中获利。 CloudScam 和 BitScam 还提供与加密挖矿相关的订阅和服务，用户可以通过 Google Play 应用内付费系统支付。 BitScam 的不同之处在于它的应用程序还接受比特币和以太币作为支付选项。

Google Play 上的各种 BitScam 和 CloudScam 应用程序

虚构收入活动

成功登录后，用户会看到一个活动仪表板，显示可用的哈希率以及他们“赚取”了多少硬币。 显示的哈希率通常非常低，以吸引用户购买承诺更快挖矿率的升级。 这是 BitScam 和 CloudScam 的项目，旨在通过销售应用内升级、额外订阅和服务来赚取更多收入。

如果云挖矿确实发生在 BitScam 或 CloudScam 上，用户会将他们希望显示的货币数量存储在安全的云数据库中，并通过 API 查询。 在分析代码和网络流量后，研究人员发现这些应用程序显示的是虚拟货币余额，而不是开采的货币数量。 显示的值只是一个在应用程序中缓慢递增的计数器。 在分析的一些应用程序中，研究人员观察到只有当应用程序位于前台时才会发生这种情况，并且通常会在移动设备重启或应用程序重新启动时重置为零。

在 CloudScam 应用程序“BTC Cash”中，GHash/sec 只是一个在计数到 10 后重置为零的计数器，它不会从云服务启动任何活动

付款活动

如前所述，BitScam 用户可以选择购买“虚拟硬件”来提高挖矿速度。 虚拟硬件的价格从 12.99 美元到 259.99 美元不等云服务器比特币挖矿流程，可以通过 Google Play 购买，也可以通过将比特币和/或以太坊（BCH/BTC 和/或 ETH）转移到开发者的钱包来购买。

BitScam 应用程序旨在让用户在达到最低余额之前“不允许”提取任何货币。 正如一些应用商店的评论所指出的，即使有人达到了最低余额，他们也不能提币。 该应用程序显示一条消息，告诉用户取款交易正在处理中，但在幕后，它只是将用户的货币余额重置为零，而不向用户转移任何资金。

其他一些应用程序经常重置用户的货币余额，以防止他们达到最低余额。 当移动设备重新启动、用户注销或应用程序崩溃时，可能会发生重置。

下面的屏幕截图显示了 CloudScam 应用程序中的取款功能。 就像 BitScam 一样，提款是不可能的。 无论货币余额如何，每当用户决定提取货币时，他们都会收到一条错误消息，告知他们余额不足。

BitScam 应用程序显示“虚拟硬件”升级，承诺用户提高挖矿速度

云诈骗应用程序“BTC Cash”阻止用户提取其加密货币余额

与 BitScam 类似，CloudScam 应用程序为用户提供了以更高速率赚取更多硬币的选项，例如“升级”到最低提款余额更低、挖矿费率更高的订阅计划、推荐朋友并赚取“20%”的收益您朋友的收入，以及每日奖励。 这些选项都不会为用户赚取硬币。 相反，它们为这些应用程序背后的骗子创造了更多收入。

BitScam 应用程序“Bito Holic”和 CloudScam 应用程序“BTC Cash”中提供的虚假升级的屏幕截图

恶意攻击者前来攻击挖矿用户

虽然 CloudScam 和 BitScam 应用程序现已从 Google Play 中删除，但仍有数十种应用程序仍在第三方应用程序商店中流通。 运营商总共赚取了至少 350,000 美元，通过销售假冒应用程序窃取了 300,000 美元，并从支付虚假升级和服务费用的受害者那里窃取了 50,000 美元的加密货币。

在线购买商品或服务总是需要对供应商或至少是处理交易的应用程序商店有一定程度的信任。 虽然这对于任何在线交易都是如此，但在涉及加密货币投资等金融服务时更为重要。

购买加密挖矿应用程序时的五个注意事项

1.了解app背后的开发者，有什么证书或资质，还开发过什么app，公司有没有网站，能不能联系上；

2. 从官方应用商店安装。 虽然诈骗很难被发现，但从官方商店下载可以降低下载恶意软件的风险；

3.阅读条款和条件，大多数诈骗应用要么包含虚假信息，要么没有任何可用条款；

4. 参考其他用户对应用的评论；

5. 了解应用程序的权限和活动，寻找应用程序活动中的危险信号。 该应用程序是否正在请求它不需要运行的权限？ 应用程序是否突然崩溃或重置，加密货币余额是否突然重置，显示的数字是否有意义？

如果交易好得令人难以置信云服务器比特币挖矿流程，那它很可能不是。

危险信号示例： 左：其中一个 CloudScam 应用程序要求用户先安装开发人员提供的其他应用程序，然后才能开始“挖掘”。 在这种情况下的原因是让用户证明他们是人。 右：虽然诈骗者使用虚假评论来提高他们应用的整体评分，但真实的用户评论可以揭示这些应用的很多信息。