[[410956]]

在新冠疫情大流行期間，加密貨幣的估值呈指數(shù)增長(zhǎng)，市值超過2萬億美元。自然而然，加密貨幣現(xiàn)在就成了攻擊者的目標(biāo)。

Lookout威脅實(shí)驗(yàn)室(Lookout Threat Lab)的安全研究人員已經(jīng)確認(rèn)了170多個(gè)Android應(yīng)用程序，其中包括25個(gè)谷歌Play應(yīng)用程序，它們會(huì)欺騙對(duì)加密貨幣感興趣的用戶。其中許多應(yīng)用在全球范圍內(nèi)都可以使用，這些應(yīng)用程序都標(biāo)榜自己提供收費(fèi)的云加密貨幣挖掘服務(wù)。在對(duì)它們進(jìn)行分析后，研究人員發(fā)現(xiàn)實(shí)際上并沒有進(jìn)行云貨幣挖掘。

為了保護(hù)Android用戶，Google 立即從 Google Play 中刪除了這些應(yīng)用。

這些應(yīng)用程序全部是通過合法的支付流程從用戶那里竊取資金，但從不提供承諾的服務(wù)。根據(jù)研究人員的分析，他們?cè)p騙了超過9.3萬人，在用戶購買應(yīng)用程序和購買額外的虛假升級(jí)和服務(wù)時(shí)，詐騙了至少35萬美元。

研究人員將這些應(yīng)用程序分為兩個(gè)不同的家族，并將其命名為 BitScam 和 CloudScam。

盡管這兩個(gè)家族在技術(shù)上有所不同，但所有的應(yīng)用程序都使用了類似的商業(yè)模式，這表明多個(gè)犯罪分子以相同的方式建立了瞄準(zhǔn)用戶的競(jìng)爭(zhēng)業(yè)務(wù)。

大多數(shù)惡意軟件執(zhí)行的代碼會(huì)執(zhí)行一些明顯的惡意活動(dòng)，例如將私人信息泄露到命令和控制服務(wù)器、在應(yīng)用程序上下文之外顯示廣告或發(fā)送優(yōu)質(zhì)短信。

使BitScam和CloudScam應(yīng)用程序能夠在殺毒軟件監(jiān)控下運(yùn)行的原因是，它們不做任何真正惡意的事情。事實(shí)上，他們幾乎什么都不做。他們只是為不存在的服務(wù)詐騙資金的工具。 

研究人員在 Google Play 上找到的 CloudScam 應(yīng)用程序示例和 BitScam 應(yīng)用程序示例

加密挖礦技術(shù)的發(fā)展使得詐騙變得更加容易

加密貨幣挖礦(又稱加密貨幣挖礦)是利用計(jì)算機(jī)的處理能力來解決驗(yàn)證加密貨幣交易的復(fù)雜數(shù)學(xué)問題，然后礦工將獲得少量加密貨幣作為獎(jiǎng)勵(lì)，一種常見的挖掘策略被稱為挖礦池，在這里，個(gè)人可以貢獻(xiàn)計(jì)算能力，以獲得與他們貢獻(xiàn)成比例的加密貨幣作為回報(bào)。

云挖掘是礦池的演變，就像云計(jì)算是本地?cái)?shù)據(jù)中心計(jì)算的演變一樣。云礦工租用云計(jì)算能力，而不是用戶購買硬件和支付巨額電費(fèi)來為云計(jì)算池捐款。

云挖掘既帶來了便利性，也帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由于云計(jì)算的簡(jiǎn)單和敏捷性，它可以快速和容易地建立一個(gè)看起來真實(shí)但實(shí)際上是一個(gè)騙局的加密挖掘服務(wù)。網(wǎng)絡(luò)犯罪分子已經(jīng)建立了類似的計(jì)劃來竊取桌面用戶，Lookout威脅實(shí)驗(yàn)室團(tuán)隊(duì)已經(jīng)發(fā)現(xiàn)了第一個(gè)將該計(jì)劃打包到移動(dòng)應(yīng)用程序的騙局。

BitScam和CloudScam是如何運(yùn)作的?

雖然合法的云挖掘業(yè)務(wù)可以使用移動(dòng)應(yīng)用程序作為其儀表盤，但該應(yīng)用程序可能有高質(zhì)量的代碼，并遵循安全的編碼實(shí)踐。我們的應(yīng)用分析揭示了一個(gè)令人不安的模式。盡管據(jù)說代表了許多不同的挖掘操作，但所有分析的應(yīng)用程序都共享非常相似的代碼和設(shè)計(jì)，下文將對(duì)此進(jìn)行解釋。為了說明這些應(yīng)用程序是多么簡(jiǎn)單，BitScam應(yīng)用程序是使用不需要編程經(jīng)驗(yàn)的框架創(chuàng)建的。

大多數(shù) BitScam 和 CloudScam 應(yīng)用程序是付費(fèi)的。這意味著攻擊者從這些應(yīng)用程序銷售中獲利。 CloudScam 和 BitScam 還提供與加密挖掘相關(guān)的訂閱和服務(wù)，用戶可以通過 Google Play 應(yīng)用內(nèi)計(jì)費(fèi)系統(tǒng)支付這些費(fèi)用。 BitScam 的不同之處在于它的應(yīng)用程序還接受比特幣和以太坊作為支付選項(xiàng)。

Google Play 上的各種 BitScam 和 CloudScam 應(yīng)用程序

虛構(gòu)的收入活動(dòng)

成功登錄后，用戶會(huì)看到一個(gè)活動(dòng)儀表盤，上面顯示了可用的哈希挖掘率以及他們“賺到了”多少金幣。顯示的哈希率通常非常低，以吸引用戶購買承諾更快挖掘率的升級(jí)。這是 BitScam 和 CloudScam 通過銷售應(yīng)用內(nèi)升級(jí)、額外訂閱和服務(wù)賺取更多收入的項(xiàng)目。

如果云挖礦實(shí)際發(fā)生在BitScam或CloudScam，用戶將期望顯示的貨幣數(shù)量存儲(chǔ)在一個(gè)安全的云數(shù)據(jù)庫中，并通過API查詢。在分析代碼和網(wǎng)絡(luò)流量后，研究人員發(fā)現(xiàn)這些應(yīng)用程序顯示的是虛構(gòu)的貨幣余額，而不是挖出的貨幣數(shù)量。顯示的值只是一個(gè)在應(yīng)用程序中緩慢遞增的計(jì)數(shù)器。在分析的一些應(yīng)用程序中，研究人員觀察到這種情況僅在應(yīng)用程序在前臺(tái)運(yùn)行時(shí)發(fā)生，并且經(jīng)常在移動(dòng)設(shè)備重新啟動(dòng)或應(yīng)用程序重新啟動(dòng)時(shí)被重置為零。

在 CloudScam 應(yīng)用程序“BTC Cash”中，GHash/sec 只是一個(gè)計(jì)數(shù)器，在計(jì)數(shù)到 10 后會(huì)重置為零，這不會(huì)啟動(dòng)來自云服務(wù)的任何活動(dòng)

支付活動(dòng)

如前所述，BitScam 用戶可以選擇購買“虛擬硬件”以提高挖礦速度。虛擬硬件的成本從 12.99 美元到 259.99 美元不等，可以通過 Google Play 購買，也可以通過將比特幣和/或以太坊(BCH/BTC 和/或 ETH)轉(zhuǎn)移到開發(fā)人員的錢包來購買。

BitScam 應(yīng)用程序的設(shè)計(jì)目的是讓用戶在達(dá)到最低余額之前“不允許”提取任何貨幣。正如一些應(yīng)用商店評(píng)論所指出的那樣，即使有人達(dá)到了最低余額，他們也無法提取貨幣。該應(yīng)用程序會(huì)顯示一條消息，告訴用戶提款交易待處理，但在幕后，它只是將用戶的貨幣余額重置為零，而不會(huì)向用戶轉(zhuǎn)移任何資金。

其他一些應(yīng)用程序經(jīng)常重置用戶的貨幣余額，以防止他們達(dá)到最低余額。當(dāng)移動(dòng)設(shè)備重新啟動(dòng)、用戶注銷或應(yīng)用程序崩潰時(shí)，可能會(huì)發(fā)生重置。

下面的屏幕截圖顯示了 CloudScam 應(yīng)用程序中的提款功能。就像 BitScam 一樣，提款是不可能的。無論貨幣余額如何，只要用戶決定提取貨幣，他們都會(huì)收到一條錯(cuò)誤消息，告訴他們他們的余額不足。

一個(gè)BitScam應(yīng)用程序顯示“虛擬硬件”升級(jí)，承諾用戶提高挖掘速度

Cloud Scam 應(yīng)用程序“BTC Cash”可防止用戶提取其加密貨幣余額

與 BitScam 類似，CloudScam 應(yīng)用程序?yàn)橛脩籼峁┝艘愿叩乃俣荣嵢「嘭泿诺倪x項(xiàng)，例如“升級(jí)”到最低提款余額較低且挖礦費(fèi)率較高的訂閱計(jì)劃，推薦朋友并賺取朋友收入的“20%” ，以及每日獎(jiǎng)勵(lì)。這些選項(xiàng)都不會(huì)為用戶賺取金幣。相反，它們會(huì)為這些應(yīng)用程序背后的騙子帶來更多收入。

BitScam 應(yīng)用程序“Bito Holic”和 CloudScam 應(yīng)用程序“BTC Cash”中提供的虛假升級(jí)的屏幕截圖

惡意攻擊者對(duì)挖礦用戶的攻擊熱潮到來

雖然 CloudScam 和 BitScam 應(yīng)用程序現(xiàn)已從 Google Play 中刪除，但仍有數(shù)十個(gè)應(yīng)用程序仍在第三方應(yīng)用程序商店中流通。運(yùn)營(yíng)商總共至少賺了35萬美元，他們從銷售虛假應(yīng)用程序中竊取了30萬美元，并從支付虛假升級(jí)和服務(wù)的受害者那里竊取了5萬美元的加密貨幣。

在線購買商品或服務(wù)總是需要對(duì)供應(yīng)商或至少是處理交易的應(yīng)用商店有一定程度的信任。雖然這對(duì)任何在線交易都適用，但對(duì)于加密貨幣投資等金融服務(wù)而言，這一點(diǎn)甚至更為重要。

購買加密挖掘應(yīng)用程序時(shí)的五個(gè)注意事項(xiàng)

1.了解應(yīng)用程序背后的開發(fā)者，他們有什么證書或資格證書，他們開發(fā)了什么其他應(yīng)用程序，該公司是否有網(wǎng)站，能否與他們聯(lián)系;

2.從官方應(yīng)用商店安裝，雖然騙局很難被發(fā)現(xiàn)，但從官方商店下載可以降低你下載惡意軟件的風(fēng)險(xiǎn);

3.閱讀條款和條件，大多數(shù)詐騙應(yīng)用程序要么包含虛假信息，要么沒有任何可用條款;

4.參考其他用戶對(duì)該應(yīng)用程序的評(píng)論;

5.了解應(yīng)用程序的權(quán)限和活動(dòng)，在應(yīng)用程序的活動(dòng)中尋找危險(xiǎn)信號(hào)。應(yīng)用程序是否要求它不需要運(yùn)行的權(quán)限?應(yīng)用程序是否會(huì)突然崩潰或重置，加密貨幣余額是否會(huì)突然重置，顯示的數(shù)字是否有意義?

如果一筆交易好得令人難以置信，那它很可能就不是真的。

危險(xiǎn)信號(hào)示例：左圖：其中一個(gè) CloudScam 應(yīng)用程序要求用戶在開始“挖掘”之前安裝來自開發(fā)人員的其他應(yīng)用程序。這種情況下的原因是讓用戶證明他們是人類。右圖：雖然詐騙者使用虛假評(píng)論來提高他們應(yīng)用的整體評(píng)分，但真實(shí)的用戶評(píng)論可以揭示很多關(guān)于這些應(yīng)用的信息。

本文翻譯自：https://blog.lookout.com/lookout-unearths-android-crypto-mining-scams如若轉(zhuǎn)載，請(qǐng)注明原文地址。