Recentemente, descobrimos oito aplicativos móveis falsos que se disfarçam como sendo de mineração em nuvem de criptomoeda, onde os usuários podem ganhar criptomoedas investindo dinheiro em uma operação de mineração em nuvem.
Devido ao aumento do número de pessoas interessadas em aprender sobre a mineração de criptomoedas, os cibercriminosos estão explorando ativamente a curiosidade da população, não apenas implantando malware de mineração de criptomoedas, mas também criando aplicativos Android falsos que têm como alvo os interessados em moedas virtuais.
Recentemente, descobrimos oito aplicativos móveis falsos que se disfarçam como apps de mineração em nuvem de criptomoeda (detectados pela Trend Micro como AndroidOS_FakeMinerPay e AndroidOS_FakeMinerAd), onde os usuários podem ganhar criptomoeda investindo dinheiro em uma operação de mineração em nuvem. No entanto, após análise, descobrimos que esses apps maliciosos apenas enganam as vítimas para que assistam a anúncios, paguem por serviços de assinatura que têm uma taxa mensal média de US$15 e por recursos de mineração maiores sem receber nada em troca. Relatamos nossas descobertas ao Google Play e os apps foram imediatamente removidos da Play Store.
Estes são os aplicativos fraudulentos que agora não estão mais disponíveis na Play Store:
- BitFunds – Crypto Cloud Mining
- Bitcoin Miner – Cloud Mining
- Bitcoin (BTC) – Pool Mining Cloud Wallet
- Crypto Holic – Bitcoin Cloud Mining
- Daily Bitcoin Rewards – Cloud Based Mining System
- Bitcoin 2021
- MineBit Pro – Crypto Cloud Mining & btc miner
- Ethereum (ETH) – Pool Mining Cloud
Dois deles são até aplicativos pagos que os usuários precisam comprar; Crypto Holic – Bitcoin Cloud Mining custa US$ 12,99 para baixar, enquanto o Bitcoin Rewards – Sistema de mineração baseado em nuvem custa US$ 5,99.
Figura 1. Capturas de tela de alguns dos aplicativos falsos de criptomoeda quando ainda estavam disponíveis na Play Store
É importante notar que, ao pesquisar as palavras-chave “mineração em nuvem” no Google Play, ainda encontramos vários aplicativos relativos do mesmo tipo. Alguns deles já foram baixados mais de 100.000 vezes.
Com base nos dados do Trend Micro Mobile App Reputation Service (MARS), mais de 120 aplicativos falsos de mineração de criptomoedas ainda estão sendo usados pelas vítimas. Esses aplicativos, que não têm recursos de mineração de criptomoedas e enganam os usuários para que assistam a anúncios no aplicativo, afetaram mais de 4.500 usuários globalmente de julho de 2020 a julho de 2021. O MARS também detecta todas essas amostras como AndroidOS_FakeMinerPay e AndroidOS_FakeMinerAd.
Figura 2. Uma captura de tela que mostra o número de instalações que o BitFunds – Crypto Cloud Mining obteve antes de ser retirado da Play Store
Análise técnica
Aplicativos sem capacidade real de criptomineração
Nossa análise dos aplicativos mencionados acima confirmou que eles não tinham nenhum comportamento de mineração de criptomoedas. A atividade de mineração falsa na interface de usuário (IU) dos aplicativos é realizada por meio de um módulo de simulação de mineração local que inclui um contador e algumas funções aleatórias.
Figura 3. Os aplicativos de criptomineração falsos simulam a mineração localmente usando um contador e funções aleatórias
Apesar de esses aplicativos não estarem associados a operações de mineração em nuvem ou ter qualquer recurso de mineração de criptomoeda, alguns solicitam que os usuários paguem por maiores recursos por meio dos sistemas de faturamento dentro do aplicativo, que variam de US$ 14,99 a US$ 189,99. O app chamado Daily Bitcoin Rewards – Cloud Based Mining System solicita que seus usuários atualizem sua capacidade de criptominação “comprando” suas máquinas de mineração favoritas para ganhar mais moedas em um ritmo mais rápido.
Decepção no seu melhor: jogo se passando por um aplicativo de criptomineração
Alguns desses aplicativos fraudulentos estão listados na categoria de finanças da Play Store e são descritos como aplicativos de mineração em nuvem nas páginas de exibição dos apps.
Figura 4. Página de exibição do aplicativo MineBit Pro – Crypto Cloud Mining & btc miner
No entanto, um dos termos de uso desses aplicativos afirma que o app é apenas um jogo que não tem nenhuma funcionalidade de mineração de criptomoeda. Portanto, ele não será obrigado a emitir pagamentos em criptomoedas para seus usuários. Também não garante um retorno firme para quaisquer bens virtuais e recursos adquiridos no próprio app.
Figura 5. Seção de Termos de Uso e Informações Importantes do aplicativo MineBit Pro – Crypto Cloud Mining & btc miner
Se os usuários confiaram apenas em como a IU do aplicativo está configurada e projetada e não leram os termos de uso, eles podem tê-lo usado e feito compras sem saber que é apenas um jogo.
Cliques fraudulentos em anúncios
Nossa investigação também descobriu que alguns desses aplicativos de criptomineração falsos levaram seus usuários a clicar em anúncios em vez de incitá-los a pagar por um poder de computação maior. Esses apps, nomeadamente Bitcoin (BTC) – Pool Mining Cloud Wallet e Bitcoin 2021, têm os seguintes recursos maliciosos:
As interfaces estão inundadas de anúncios.
É solicitado aos usuários que cliquem em anúncios durante atividades fraudulentas de criptominação para provar que não são robôs.
Os usuários são informados de que podem começar a minerar depois de ver os anúncios em vídeo no aplicativo.
Os usuários são informados que devem assistir a anúncios em vídeo no aplicativo para aumentar a velocidade de mineração.
Figura 6. Exemplo de um anúncio mostrado em um aplicativo fraudulento de mineração de criptomoedas
Figura 7. Código que mostra como os anúncios em vídeo são exibidos quando os usuários clicam no botão “Iniciar Mineração”
Não há suporte para retiradas de criptomoedas
Infelizmente, mesmo se os usuários navegarem em anúncios no aplicativo, eles não terão nenhum retorno financeiro. O que acontece é que eles serão solicitados a convidar vários amigos para baixar o aplicativo para desbloquear a interface de retirada.
Figura 8. Os usuários são solicitados a convidar amigos para desbloquear a interface de retirada
No entanto, mesmo depois que os usuários podem convidar amigos e desbloquear a interface de retirada, eles não poderiam retirar a criptomoeda do aplicativo, pois está sempre em um estado de espera. Por exemplo, o aplicativo Bitcoin (BTC) – Pool Mining Cloud Wallet acessa um link que responde às solicitações de retirada dos usuários:
Este link pode ser acessado facilmente em qualquer navegador. O valor da criptomoeda e o valor da retirada também podem ser facilmente alterados.
Figura 9. Captura de tela do Bitcoin (BTC) — página de resposta de retirada falsa do aplicativo Pool Mining Cloud Wallet
Como reconhecer um aplicativo de mineração de criptomoeda falso
A volatilidade do mercado de criptomoedas não é o único risco — aqueles interessados em minerar criptomoedas também devem estar cientes dos aplicativos fraudulentos.
Fornecemos algumas dicas úteis para determinar se um aplicativo de criptomineração é falso ou não:
- Leia com atenção as análises do aplicativo. Os que são falsos receberão inúmeras avaliações 5 estrelas assim que forem lançados publicamente, mas não se deixe enganar por elas, pois podem ser avaliações falsas e pagas. Preste mais atenção aos comentários de 1 estrela.
Figura 10. Avaliações de 1 estrela de usuários reais
- Tente inserir um endereço de carteira de criptomoeda inválido ou incorreto. Após uma análise extensa, descobrimos que a maioria das amostras maliciosas processam apenas endereços de carteira como valores não vazios. Portanto, se um usuário codificar um endereço de carteira inválido e o aplicativo aceitá-lo e puder realizar operações de acompanhamento, há uma grande probabilidade de que ele seja fraudulento.
- Reinicie o aplicativo ou telefone enquanto estiver no processo de mineração. A maioria das ações de mineração para apps falsos é apenas simulada com contadores locais. Isso significa que se um dispositivo for reiniciado após o início da mineração e o aplicativo de mineração for encerrado em segundo plano, o sistema limpará o contador à força, redefinindo-o para zero.
- Confirme se há uma taxa de retirada. A transferência de criptomoeda exige uma taxa de manuseio, que é relativamente alta em comparação com o que normalmente é feito com a mineração na nuvem. Consequentemente, retiradas gratuitas são muito suspeitas.
Soluções Trend Micro
Para evitar esses tipos de ameaças, os usuários podem recorrer a soluções de segurança que alertam os usuários sobre apps fraudulentos. O Trend Micro™ Mobile Security bloqueia aplicativos maliciosos. Os usuários finais também podem se beneficiar de seus recursos de segurança em várias camadas que protegem os dados e a privacidade do proprietário do dispositivo e os protegem contra ransomware, sites fraudulentos e roubo de identidade.
Para as organizações, o pacote Trend Micro™ Mobile Security for Enterprise oferece gerenciamento de dispositivos, conformidade e aplicações, proteção de dados e provisionamento de configuração, bem como protege os dispositivos de ataques que exploram vulnerabilidades, impede o acesso não autorizado a aplicativos e detecta e bloqueia malware e fraudes sites. O Mobile App Reputation Service (MARS) da Trend Micro cobre ameaças de Android e iOS usando tecnologias líderes de sandbox e machine learning para proteger os usuários contra malware, exploits de dia-zero e conhecidos, vazamentos de privacidade e vulnerabilidade de aplicações.
Indicadores de comprometimento (IoCs)
AndroidOS_FakeMinerPay
Nome do Pacote | Nome do Aplicativo | Número de downloads (antes de serem retirados) | SHA-256 |
com.btc.bitcoin.mining.crypto.miner.android.minebitpro | MineBit Pro – Crypto Cloud Mining & btc miner 1.0 | 1,000+ | 88e8185e26a6cdde904e77724fb809f2988a9f8cf7903aff854ee684aa633640 |
com.bucks.cryptoholic.activity | Crypto Holic – Bitcoin Cloud Mining | 500+ | a2176ae59d771d408bb7445e0965e76dd45a5d4cace69037086283bbdb9e996e |
com.serverpoolbtc.cryptocloudmining.freebitcoincashwallet | Bitcoin (BTC) – Pool Mining Cloud Wallet | 5,000+ | 12ac2a216f149413b63a508227bb53e149bba9d832c62e4b5e6020ac05a1cada |
com.task.cryptocloudpro | BitFunds – Crypto Cloud Mining | 100,000+ | 07503f042011c7efa71523e4eb207bfbe8108e6960de1ce8f493052f3f877493
3df1aeda30ebb6918f14dac28106f9e75051a5763de1b0dea24de9211d9ccd6f d64d8ed789ae57983a712ba9b2077727437a270a2e67e4e602df6ffd260c331e d0ee26558438b6d3118ec6daee56d292695a5bec653a204ad65405760eab4ce8 9d0ceddae407f8a69ead4cd0df219111367772f4e2093f616943ff3b406f2da5 6234a51018e2ca49c9d4a1b0a2dbd6a0e517b5ca2f43650dc845afc32aa6846a e58165c0caa5f54460e0516a7c2bbb63be310f60119ae9bf3b8007603b396d2e |
com.serverpooleth.cryptocloudmining.freewalletethereumcash | Ethereum (ETH) – Pool Mining Cloud | 1,000+ | cb0c1ab8c0bf4650f6138abc228c15491fddc01c1f0ba7612749c42a62a74799
|
com.freebitcoin.reward.system | Daily Bitcoin Rewards – Cloud Based Mining System | 200+ | cf13798ace8bcc59f503e0a094b83d5ff830ecc615044b6f6c5915134638265b
|
com.wMiningForever_13689132 | Mining Forever | 10,000+ | c414d081351df33c87279a1895415524e07394e3f99ef2fc80aefbb4b6467c88 5ff8583eed095d57b5344b1be8fffd0f7336f5ceee5cbd78d0a37ef2ae49f9f0 |
com.wEthProMiner_13688903 | Eth Pro Miner | 10,000+ | 90a50b0ab2cd45bc93938d0196165e1da0f709294499be31341f08f32d49a98e
02c5dbe47c3cf2b2af533b9ecba0cc09c6787846dada6cbd3398aed5058766ac 30d53377c80cb0b434f41f35218782f5b30d79fdef0178e3a09998b27d090678 |
AndroidOS_FakeMinerAd
Nome do Pacote | Nome do Aplicativo | Número de downloads (antes de serem retirados) | SHA-256 |
cloud.pro.btccrypto2021 | Bitcoin 2021 | 5000+ | 88e8185e26a6cdde904e77724fb809f2988a9f8cf7903aff854ee684aa633640 |
cryptominer.bitcoinminer
|
Bitcoin Miner – Cloud Mining | 50000+ | 13e2d06eba1ff7546c991d5019214dc9b803dfbc38c1ec0f974d45ba7e82cd9d
76d54c3d926bbd261ee28b4e92be9b4b58f08c5230e7df4ecce88c41a8f7ee91 deda27d066965cfdac3d2c71a92978794fa4e47d1c3c7b000d6346a515747a06 8812a14a4eb1a18a5fcd738e87206939d929e5555fa88f3a5f52891702310714 |