在新冠疫情大流行期間，加密貨幣的估值呈指數(shù)增長，市值超過2萬億美元。自然而然，加密貨幣現(xiàn)在就成了攻擊者的目標(biāo)。

　　Lookout威脅實驗室（Lookout Threat Lab）的安全研究人員已經(jīng)確認(rèn)了170多個Android應(yīng)用程序，其中包括25個谷歌Play應(yīng)用程序，它們會欺騙對加密貨幣感興趣的用戶。其中許多應(yīng)用在全球范圍內(nèi)都可以使用，這些應(yīng)用程序都標(biāo)榜自己提供收費的云加密貨幣挖掘服務(wù)。在對它們進行分析后，研究人員發(fā)現(xiàn)實際上并沒有進行云貨幣挖掘。

　　為了保護Android用戶，Google 立即從 Google Play 中刪除了這些應(yīng)用。

　　這些應(yīng)用程序全部是通過合法的支付流程從用戶那里竊取資金，但從不提供承諾的服務(wù)。根據(jù)研究人員的分析，他們詐騙了超過9.3萬人，在用戶購買應(yīng)用程序和購買額外的虛假升級和服務(wù)時，詐騙了至少35萬美元。

　　研究人員將這些應(yīng)用程序分為兩個不同的家族，并將其命名為 BitScam 和 CloudScam。

　　盡管這兩個家族在技術(shù)上有所不同，但所有的應(yīng)用程序都使用了類似的商業(yè)模式，這表明多個犯罪分子以相同的方式建立了瞄準(zhǔn)用戶的競爭業(yè)務(wù)。

　　大多數(shù)惡意軟件執(zhí)行的代碼會執(zhí)行一些明顯的惡意活動，例如將私人信息泄露到命令和控制服務(wù)器、在應(yīng)用程序上下文之外顯示廣告或發(fā)送優(yōu)質(zhì)短信。

　　使BitScam和CloudScam應(yīng)用程序能夠在殺毒軟件監(jiān)控下運行的原因是，它們不做任何真正惡意的事情。事實上，他們幾乎什么都不做。他們只是為不存在的服務(wù)詐騙資金的工具。

　　研究人員在 Google Play 上找到的 CloudScam 應(yīng)用程序示例和 BitScam 應(yīng)用程序示例

　　加密挖礦技術(shù)的發(fā)展使得詐騙變得更加容易

　　加密貨幣挖礦（又稱加密貨幣挖礦）是利用計算機的處理能力來解決驗證加密貨幣交易的復(fù)雜數(shù)學(xué)問題，然后礦工將獲得少量加密貨幣作為獎勵，一種常見的挖掘策略被稱為挖礦池，在這里，個人可以貢獻計算能力，以獲得與他們貢獻成比例的加密貨幣作為回報。

　　云挖掘是礦池的演變，就像云計算是本地數(shù)據(jù)中心計算的演變一樣。云礦工租用云計算能力，而不是用戶購買硬件和支付巨額電費來為云計算池捐款。

　　云挖掘既帶來了便利性，也帶來了網(wǎng)絡(luò)安全風(fēng)險。由于云計算的簡單和敏捷性，它可以快速和容易地建立一個看起來真實但實際上是一個騙局的加密挖掘服務(wù)。網(wǎng)絡(luò)犯罪分子已經(jīng)建立了類似的計劃來竊取桌面用戶，Lookout威脅實驗室團隊已經(jīng)發(fā)現(xiàn)了第一個將該計劃打包到移動應(yīng)用程序的騙局。

　　BitScam和CloudScam是如何運作的？

　　雖然合法的云挖掘業(yè)務(wù)可以使用移動應(yīng)用程序作為其儀表盤，但該應(yīng)用程序可能有高質(zhì)量的代碼，并遵循安全的編碼實踐。我們的應(yīng)用分析揭示了一個令人不安的模式。盡管據(jù)說代表了許多不同的挖掘操作，但所有分析的應(yīng)用程序都共享非常相似的代碼和設(shè)計，下文將對此進行解釋。為了說明這些應(yīng)用程序是多么簡單，BitScam應(yīng)用程序是使用不需要編程經(jīng)驗的框架創(chuàng)建的。

　　大多數(shù) BitScam 和 CloudScam 應(yīng)用程序是付費的。這意味著攻擊者從這些應(yīng)用程序銷售中獲利。CloudScam 和 BitScam 還提供與加密挖掘相關(guān)的訂閱和服務(wù)，用戶可以通過 Google Play 應(yīng)用內(nèi)計費系統(tǒng)支付這些費用。BitScam 的不同之處在于它的應(yīng)用程序還接受比特幣和以太坊作為支付選項。

　　Google Play 上的各種 BitScam 和 CloudScam 應(yīng)用程序

　　虛構(gòu)的收入活動

　　成功登錄后，用戶會看到一個活動儀表盤，上面顯示了可用的哈希挖掘率以及他們“賺到了”多少金幣。顯示的哈希率通常非常低，以吸引用戶購買承諾更快挖掘率的升級。這是 BitScam 和 CloudScam 通過銷售應(yīng)用內(nèi)升級、額外訂閱和服務(wù)賺取更多收入的項目。

　　如果云挖礦實際發(fā)生在BitScam或CloudScam，用戶將期望顯示的貨幣數(shù)量存儲在一個安全的云數(shù)據(jù)庫中，并通過API查詢。在分析代碼和網(wǎng)絡(luò)流量后，研究人員發(fā)現(xiàn)這些應(yīng)用程序顯示的是虛構(gòu)的貨幣余額，而不是挖出的貨幣數(shù)量。顯示的值只是一個在應(yīng)用程序中緩慢遞增的計數(shù)器。在分析的一些應(yīng)用程序中，研究人員觀察到這種情況僅在應(yīng)用程序在前臺運行時發(fā)生，并且經(jīng)常在移動設(shè)備重新啟動或應(yīng)用程序重新啟動時被重置為零。

　　在 CloudScam 應(yīng)用程序“BTC Cash”中，GHash/sec 只是一個計數(shù)器，在計數(shù)到 10 后會重置為零，這不會啟動來自云服務(wù)的任何活動

　　支付活動

　　如前所述，BitScam 用戶可以選擇購買“虛擬硬件”以提高挖礦速度。虛擬硬件的成本從 12.99 美元到 259.99 美元不等，可以通過 Google Play 購買，也可以通過將比特幣和/或以太坊（BCH/BTC 和/或 ETH）轉(zhuǎn)移到開發(fā)人員的錢包來購買。

　　BitScam 應(yīng)用程序的設(shè)計目的是讓用戶在達到最低余額之前“不允許”提取任何貨幣。正如一些應(yīng)用商店評論所指出的那樣，即使有人達到了最低余額，他們也無法提取貨幣。該應(yīng)用程序會顯示一條消息，告訴用戶提款交易待處理，但在幕后，它只是將用戶的貨幣余額重置為零，而不會向用戶轉(zhuǎn)移任何資金。

　　其他一些應(yīng)用程序經(jīng)常重置用戶的貨幣余額，以防止他們達到最低余額。當(dāng)移動設(shè)備重新啟動、用戶注銷或應(yīng)用程序崩潰時，可能會發(fā)生重置。

　　下面的屏幕截圖顯示了 CloudScam 應(yīng)用程序中的提款功能。就像 BitScam 一樣，提款是不可能的。無論貨幣余額如何，只要用戶決定提取貨幣，他們都會收到一條錯誤消息，告訴他們他們的余額不足。

一個BitScam應(yīng)用程序顯示“虛擬硬件”升級，承諾用戶提高挖掘速度

　　Cloud Scam 應(yīng)用程序“BTC Cash”可防止用戶提取其加密貨幣余額

　　與 BitScam 類似，CloudScam 應(yīng)用程序為用戶提供了以更高的速度賺取更多貨幣的選項，例如“升級”到最低提款余額較低且挖礦費率較高的訂閱計劃，推薦朋友并賺取朋友收入的“20%” ，以及每日獎勵。這些選項都不會為用戶賺取金幣。相反，它們會為這些應(yīng)用程序背后的騙子帶來更多收入。

　　BitScam 應(yīng)用程序“Bito Holic”和 CloudScam 應(yīng)用程序“BTC Cash”中提供的虛假升級的屏幕截圖

　　惡意攻擊者對挖礦用戶的攻擊熱潮到來

　　雖然 CloudScam 和 BitScam 應(yīng)用程序現(xiàn)已從 Google Play 中刪除，但仍有數(shù)十個應(yīng)用程序仍在第三方應(yīng)用程序商店中流通。運營商總共至少賺了35萬美元，他們從銷售虛假應(yīng)用程序中竊取了30萬美元，并從支付虛假升級和服務(wù)的受害者那里竊取了5萬美元的加密貨幣。

　　在線購買商品或服務(wù)總是需要對供應(yīng)商或至少是處理交易的應(yīng)用商店有一定程度的信任。雖然這對任何在線交易都適用，但對于加密貨幣投資等金融服務(wù)而言，這一點甚至更為重要。

　　購買加密挖掘應(yīng)用程序時的五個注意事項

　　1.了解應(yīng)用程序背后的開發(fā)者，他們有什么證書或資格證書，他們開發(fā)了什么其他應(yīng)用程序，該公司是否有網(wǎng)站，能否與他們聯(lián)系；

　　2.從官方應(yīng)用商店安裝，雖然騙局很難被發(fā)現(xiàn)，但從官方商店下載可以降低你下載惡意軟件的風(fēng)險；

　　3.閱讀條款和條件，大多數(shù)詐騙應(yīng)用程序要么包含虛假信息，要么沒有任何可用條款；

　　4.參考其他用戶對該應(yīng)用程序的評論；

　　5.了解應(yīng)用程序的權(quán)限和活動，在應(yīng)用程序的活動中尋找危險信號。應(yīng)用程序是否要求它不需要運行的權(quán)限？應(yīng)用程序是否會突然崩潰或重置，加密貨幣余額是否會突然重置，顯示的數(shù)字是否有意義？

　　如果一筆交易好得令人難以置信，那它很可能就不是真的。

危險信號示例：左圖：其中一個 CloudScam 應(yīng)用程序要求用戶在開始“挖掘”之前安裝來自開發(fā)人員的其他應(yīng)用程序。這種情況下的原因是讓用戶證明他們是人類。右圖：雖然詐騙者使用虛假評論來提高他們應(yīng)用的整體評分，但真實的用戶評論可以揭示很多關(guān)于這些應(yīng)用的信息。