Il boom delle monete virtuali continua a crescere e di conseguenza le truffe ad esse legate: secondo i ricercatori di ESET, seppure in Italia l’incidenza di JS/Coinminer – il minaccioso malware per il mining delle cripto valute – ha subito negli ultimi due mesi una battuta d’arresto scendendo dal picco del 32% di gennaio 2018 al 18% di inizio marzo, in alcune nazioni europee il livello d’allerta è ancora altissimo e si registrano a tutt’oggi percentuali allarmanti come per la Spagna (39%), Ungheria (30%) e Grecia (28%).
La piattaforma Android non è stata risparmiata dai tentativi di frode anzi rappresenta la nuova frontiera del cyber crime legato alle cripto valute, considerato che molti dei servizi e delle app ad esse legati non hanno ancora una versione mobile ufficiale ed è inoltre facile imbattersi su Google Play in valutazioni e recensioni fasulle. Tutto questo aumenta la possibilità per gli hacker di ingannare gli ignari utenti.
In questo documento, esamineremo i tipi più comuni di frode collegati alla cripto valuta che attualmente minacciano gli utenti di Android, i loro trucchi e le loro tecniche. Definiremo gli indicatori rilevanti delle potenziali truffe e forniremo suggerimenti agli utenti per mantenere i loro dispositivi e le monete virtuali al sicuro dai truffatori.
1. False app per scambio di cripto valuta
False app Poloniex
Nel corso dell’ultimo anno, abbiamo riportato due casi in cui gli utenti di uno dei leader degli scambi di cripto valuta a livello mondiale sono stati presi di mira dalle app per il furto di credenziali. Entrambi hanno finto di essere l’app mobile per lo scambio di criptovalute Poloniex, sfruttando la mancanza di quella ufficiale. Oltre a raccogliere credenziali di accesso a Poloniex, le finte app hanno inoltre cercato di ingannare le vittime per ottenere i dati dei loro account Gmail.
Da allora, la tendenza alla creazione di app false per gli scambi o la gestione di portafogli di cripto valute esistenti è costantemente aumentata. Solo per Poloniex, abbiamo osservato almeno altre sette varianti di applicazioni phishing.
Indicatori: Nessuna app ufficiale collegata al sito originale di Poloniex
Oltre al comportamento malevolo piuttosto semplice osservato in queste app di phishing, ci sono anche app di terze parti che si limitano ad aprire nel browser il sito ufficiale dell’exchange che tentano di imitare. Una motivazione comune per la creazione di tali app sono gli incentivi offerti da alcune società di cambio per guidare i nuovi utenti verso un particolare exchange, solitamente rappresentati da sconti o bonus.
Anche se questo non può essere considerato un comportamento dannoso, le app terze parti legate a qualsiasi servizio legittimo dovrebbero essere trattate con cautela, poiché non vi è alcuna garanzia che in futuro non vengano modificate per contenere funzionalità dannose.
2. App fasulle per la gestione dei portafogli di cripto valuta
Le app fasulle per la gestione dei portafogli che abbiamo analizzato usano differenti metodi per truffare le vittime e appropriarsi delle loro monete virtuali – alcune cercano di ingannare gli utenti per far trasferire valuta nel portafoglio dei criminali, alcune tentano di ottenere informazioni personali legate ai portafogli delle vittime, altre infine combinano i precedenti metodi o escogitano ulteriori trucchi.
Truffe sull’indirizzo del portafoglio
Tra tutte le truffe destinate agli utenti dei portafogli di cripto valuta, le truffe sugli indirizzi del portafoglio sono probabilmente le più facili da individuare.
Le app che utilizzano questo trucco si basano su un semplice principio: subito dopo essere state lanciate e senza richiedere alcun tipo di registrazione, le app fingono di generare una chiave pubblica per un nuovo portafoglio, presentata come testo copiabile e / o codice QR scansionabile. Se gli utenti seguono le istruzioni e inviano valuta a questo portafoglio, scopriranno che non possono eseguire ulteriori azioni con l’importo che hanno inviato – non possiedono la chiave privata necessaria per accedere al portafoglio. I criminali, invece, a questo punto potranno accedervi e l’importo inviato sarà ora a loro completa disposizione.
Abbiamo visto questa tecnica nelle app che hanno come obiettivo i Bitcoin e altre cripto valute. Anziché essere casi isolati, le app vengono spesso riunite in gruppi, legate a un singolo utente malintenzionato dal nome dello sviluppatore o da indirizzi di portafoglio condivisi. Abbiamo rilevato dozzine di app con questo tipo di comportamento fraudolento e le abbiamo segnalate ai team di sicurezza di Google che le ha prontamente rimosse da Google Play.
Indicatori: sviluppatori sconosciuti, nessuna registrazione richiesta, nessuna chiave privata fornita all’utente
Phishing e ancora phishing: False app MyEtherWallet
Sia gli utenti degli exchange sia quelli dei portafogli sono spesso presi di mira dalle app di phishing. Tuttavia con i portafogli il gioco è di solito più pericoloso – una situazione di password rubata può potenzialmente essere risolta con l’aiuto dell’exchange che conserva la chiave privata dell’utente, mentre nel caso di un portafoglio è proprio la chiave privata a venir compromessa e in questo caso nessuno ci salverà. Un esempio di un portafoglio di cripto valute che abbiamo visto essere continuamente sfruttato dai truffatori è MyEtherWallet, un famoso portafoglio Ethereum open source. Come per l’excahnge Poloniex, MyEtherWallet attualmente non offre un’app Android ufficiale ed è quindi un facile obiettivo.
L’app di phishing che utilizza in modo illegittimo il nome del portafoglio, ricaricata più volte su Google Play con diversi nomi di sviluppatori, cerca di ingannare le vittime per sottrarre la chiave privata o la frase mnemonica legata al proprio account MyEtherWallet. Anche se è sufficiente ottenere la chiave o la frase per garantirsi il controllo sul portafoglio della vittima, alcune varianti del falso MyEtherWallet che abbiamo analizzato sfruttano tecniche di “double phish” per sottrarre alla vittima entrambi gli elementi, in due forme sequenziali.
Per aumentare le probabilità che le loro app vengano scaricate, i truffatori cercano anche di assicurargli un buon punteggio iniziale immettendo dozzine di recensioni altamente positive. Come è successo per le false app MyEtherWallet.
Indicatori: Nessuna app ufficiale collegata al sito Web di MyEtherWallet; recensioni positive generiche
Un mix pericoloso: Cardano ADA Wallet
L’app che abbiamo scoperto su Google Play come “Cardano ADA Wallet”, caricata con il nome sviluppatore “Cardano inc”, è un esempio di combinazione di “un po’ di tutte” le tecniche di truffa per aumentare le sue probabilità di successo.
L’app pericolosa si presenta come un portafoglio per Ada, una cripto valuta alternativa che viene eseguita sulla piattaforma blockchain Cardano1. Una volta lanciata, l’app inizia come molte delle truffe sugli indirizzi del portafoglio precedentemente descritte, cercando di indurre le vittime a trasferire le loro monete Ada sul portafoglio dei criminali.
1 L’unico portafoglio ufficiale per Ada è chiamato Daedalus ed è disponibile solo per sistemi desktop.
Successivamente, i truffatori tentano la fortuna con il phishing, cercando di ingannare l’utente presentandogli una falsa funzione desktop per il recupero del portafoglio. Viene quindi promesso all’utente che una volta inseriti l’indirizzo e la frase del suo portafoglio desktop, questo verrà trasferito all’app. Come nel caso del pericoloso MyEtherWallet, la frase rubata può essere usata per accedere e controllare il portafoglio della vittima.
Oltre a questi trucchi, l’app offre anche una funzione di scambio per una vasta gamma di cripto valute (vale a dire Bitcoin, Litecoin, Dash, Bitcoin Cash, Bitcoin Gold, Dogecoin e Ripple) e Cardano (Ada). In realtà, gli utenti sono dirottati verso l’indirizzo di deposito del criminale stesso quando inviano monete per lo scambio. L’unica differenza rispetto alle frodi con l’indirizzo del portafoglio precedentemente descritte è che, presentandosi come un exchange, gli attaccanti non devono limitarsi a una singola valuta per app.
Indicatori: nessuna app mobile ufficiale collegata al sito Web originale di Cardano
3. Malware Android per il mining di crypto valute
Con l’aumento generale delle attività legate alle cripto valute registrate negli ultimi mesi, anche il numero di sistemi di mining per Android è aumentato. Se da una parte l’efficacia dell’utilizzo di smartphone per l’estrazione di risorse ad alta intensità è ancora da dimostrare, la tendenza indica che gli autori di malware sembrano determinati a sfruttare a prescindere questa possibilità.
Considerare come pericolosa un’app per il mining di cripto valuta è essenzialmente una questione di consensi – sono gli utenti che scaricano deliberatamente un’app con l’intenzione di usare il proprio dispositivo per produrre moneta digitale o il dispositivo viene manomesso da qualcun altro con l’intenzione di trarne profitto? Quando ci si imbatte nell’ultimo caso parliamo di malware per il mining di cripto valuta.
Le funzionalità di mining dei malware Android per il crypto-mining si ottengono includendo nelle app un framework per il crypto-mining o eseguendo degli script per il mining di cripto valuta nei browser mobile, meglio noti come mining in-browser o cryptojacking.
Test di nuovi flussi di entrate su milioni di utenti: Bug Smasher
Un esempio recente di un’app che è stata usata impropriamente per nascondere attività di mining di monete digitali è stato Bug Smasher, un famoso gioco dello sviluppatore “aleksaant2”. Questo semplice gioco schiaccia insetti è stato disponibile su Google Play sin da novembre del 2011 ed è stato scaricato tra 1 e 5 milioni di volte prima di essere stato rimosso dopo la nostra segnalazione a gennaio del 2018.
Al momento della nostra scoperta, il gioco conteneva un pacchetto di mining che utilizzava una libreria per generare la cripto valuta Monero. Non è chiaro quando sia stata implementata questa funzionalità, ma probabilmente è stata distribuita attraverso uno degli ultimi aggiornamenti.
Una motivazione comune per un tale cambiamento è la promessa di nuovi flussi di entrate che, a quanto pare, a volte è sufficiente a rischiare di danneggiare la reputazione dello sviluppatore.
Indicatori: riduzione delle prestazioni del telefono – ritardi nell’utilizzo, surriscaldamento, minor durata della batteria, ecc…
Mining di Monero come promesso, ma non per te: Monero Miner (XMR)
Mentre alcuni truffatori cercano di trarre vantaggio da utenti ignari e nascondono le funzionalità di mining nelle app, altri seguono gli appassionati di cripto valuta in particolare quando sono alla ricerca di app mobile per il mining.
L’app chiamata “Monero Miner (XMR)” dello sviluppatore “My Portable Software”, che abbiamo recentemente scoperto su Google Play promette di generare direttamente Monero, e fa proprio questo: solo che la ricompensa non viene inviata all’utente del dispositivo, ma allo sviluppatore dell’app. L’app ingannevole aveva raggiunto tra le 10.000 e 50.000 installazioni da settembre 2017 ed è stata rimossa dal Google Play Store a febbraio 2018 dopo la segnalazione di ESET.
Indicatori: Sviluppatore sconosciuto; bassi punteggi e recensioni negative
4. Falsi crypto-miner e omaggi gratuiti
A differenza delle app che nascondono le loro funzioni di mining, queste si presentano proprio come strumenti per consentire agli utenti di generare cripto valuta (o per farla “ottenere”), ma in realtà non fanno altro che visualizzare annunci.
E per massimizzare l’effetto degli annunci, queste app truffa sono spesso progettate per incentivare gli utenti ad aprirle su base regolare – con la promessa di continuare con il mining o di ricevere più monete “gratuite” ogni giorno. Sebbene queste app non siano malware di per sé, le consideriamo indesiderate a causa della loro natura ingannevole.
5 stelle per promesse mai mantenute: Falsi miner di bitcoin
A causa della sua crescente difficoltà, il mining di bitcoin attualmente non si riesce a fare con le normali CPU presenti nei PC, a maggior ragione con quelle dei dispositivi mobile2. Questo, tuttavia, non è sufficiente a far desistere i truffatori dal presentare le loro app pericolose come miner di bitcoin per Android.
Mentre continua l’attività di “mining” svolta da queste app, il saldo degli utili dell’utente sembra aumentare. In alcuni dei falsi miner che abbiamo analizzato, il falso processo di mining è stato interrotto da popup che promettevano una ricompensa per aver lasciato le valutazioni a 5 stelle per l’app. Nei pop-up che abbiamo visto durante la nostra analisi di “Bitcoin Miner Android” dallo sviluppatore “Miner Coin” e “Bitcoin Miner Automatic – Earn free Bitcoin” dallo sviluppatore “Mining and Utility Apps”, il premio promesso era di 50.000 Satoshi3.
2 Per l’estrazione redditizia di bitcoin è necessario l’hardware specializzato noto come ASIC (Circuito integrato specifico per applicazione).
3 Un Satoshi è attualmente l’unità più piccola in cui è possibile frazionare i bitcoin ed ammonta a 0.00000001 BTC.
Il saldo delle entrate visualizzato dall’utente è impostato arbitrariamente dai creatori delle app. In una delle app (“Bitcoin Miner – Earn Free BTC” dello sviluppatore “Honey Corporation”), questo numero potrebbe anche essere modificato dall’utente nel file di configurazione. Senza doverci sorbire una raffica di annunci, abbiamo preventivamente cambiato i nostri guadagni da zero a duecento BTC.
Inutile dire che non vi è alcuna somma di bitcoin da riscattare. Nonostante questo sia ovvio, i truffatori si sono sforzati di apparire verosimili – una volta inviata la richiesta di ritiro a un indirizzo di portafoglio bitcoin, l’app informa l’utente che il pagamento richiederà da tre a quattro giorni lavorativi per essere completato. L’importo inviato all’indirizzo viene quindi apparentemente sottratto dal saldo delle entrate dell’utente.
Indicatori: Inattuabilità del mining di bitcoin su Android
Cosa vuol dire che non può essere generato? Falsi miner di Ripple
Un tentativo particolarmente audace di ingannare gli utenti per ottenere visualizzazione di annunci sono app che promettono di estrarre la criptovaluta Ripple (XRP), una valuta non propriamente minuscola per definizione 4. Nonostante ciò, ESET ha rilevato e segnalato una serie di app di visualizzazione annunci “Ripple mining” su Google Play, spesso con migliaia di installazioni.
4 La ragione è che Ripple (XRP) non è stato progettato come una cripto valuta standard, ma piuttosto come parte integrante della rete di pagamento digitale creata dalla società Ripple.
Indicatori: Non è possibile il mining di Ripple
Come stare al sicuro
Vedendo i molti modi in cui i truffatori stanno sfruttando l’attuale mania della cripto valuta sulla piattaforma Android, è importante essere consapevoli dei trucchi che stanno usando e adottare le giuste misure preventive.
Ecco cosa si può fare per proteggersi:
1. Prima di tutto bisogna trattare gli exchange e i portafogli di cripto valuta, la loro sicurezza e legittimità, con lo stesso livello di cautela adottato per le app di home banking.
2. Se si desidera scaricare un’app mobile per uno scambio di cripto valuta o un portafoglio, assicurarsi innanzitutto che il servizio ne offra una ufficiale. In tal caso, l’app dovrebbe essere collegata al sito web originale del servizio, reindirizzando a un download legittimo.
3. Se è disponibile, utilizzare l’autenticazione a due fattori per proteggere gli account dell’exchange o del portafoglio con un livello di sicurezza aggiuntivo.
4. Quando si scarica un’app da Google Play, prestare attenzione al numero di download, considerandone anche le valutazioni e le recensioni. Fare molta attenzione alle nuove app pubblicate con recensioni positive dal tono generico e concentrarsi invece su quelle negative.
5. Se qualcosa sembra troppo buono per essere vero, molto probabilmente è così – è molto improbabile che un’app per Android regali gratuitamente dei bitcoin o altre cripto valute.
6. Mantenere aggiornato il dispositivo Android e utilizzare un’efficace soluzione di sicurezza mobile per difenderlo dalle ultime minacce.
Conclusione
In base alle minacce appena descritte, possiamo concludere che ultimamente i criminali si sono particolarmente impegnati per indirizzare gli appassionati di cripto valuta su app mobile ingannevoli.
I truffatori hanno diversi motivi per farlo: gli utenti potrebbero ad esempio essere molto attenti quando scaricano software sconosciuto sul loro computer, ma non pensarci due volte prima di installare un’app apparentemente molto proficua. C’è anche il significativo vantaggio del “territorio di nessuno” nei casi in cui un popolare servizio non offra un’app mobile. Infine, valutazioni e recensioni fasulle aumentano la possibilità per gli hacker di ingannare gli ignari utenti.
In questo documento, abbiamo identificato le minacce più diffuse legate alle cripto valute rivolte agli utenti Android, dividendole in quattro categorie:
1. False app per scambio di cripto valuta
2. App fasulle per la gestione dei portafogli di criptovaluta
3. Android crypto-mining malware
4. Malware Android per il mining di crypto valute
È importante far notare come tutte le app di cui abbiamo discusso in queste categorie vengano rilevate e bloccate dai sistemi ESET e che sono state rimosse dallo store di Google Play. Gli utenti con Google Play Protect abilitato sono protetti attraverso questa funzione.
Lascia un commento