Durant la pandémie de Covid-19, la valorisation des cryptomonnaies a explosé, atteignant une valorisation de plus de 200 milliards de dollars. Les cybers criminels sont toujours à la recherche de moyens faciles pour faire de l’argent, et les cryptomonnaies sont désormais dans leur ligne de mire.
Disponibles pour beaucoup d’applications dans le monde entier, ces applications mobiles se vantent d’offrir des services de minage de crypto monnaies moyennant finance. Après les avoir analysées, il s’avère qu’elles n’offrent aucune prestation de crypto minage. La raison d’être de ces applications est de soutirer de l’argent à des utilisateurs via des processus de paiement légitimes, en ne délivrant jamais le service promis. Sur la base des analyses faites par Lookout, elles ont escroqué plus de 86 000 personnes et soutiré au moins 350 000 $ entre les utilisateurs qui ont acheté les applications et ceux qui ont payé pour de faux services et mises à niveau supplémentaires. Lookout a classé ces applications dans deux catégories distinctes, qu’il a appelé BitScam et CloudScam.
Toutes les applications utilisent un même ‘business model’, indiquant que de multiples acteurs criminels ont lancé des campagnes concurrentes pour cibler des utilisateurs de manière identique. La plupart des malwares exécutent du code qui déclenche des activités clairement malveillantes, telles que l’exfiltration de données personnelles vers un serveur de commande et contrôle, l’affichage de publicités en dehors du contexte de l’application, ou l’envoi de SMS payants. Les applications BitScam et CloudScam ont pu échapper aux radars car elles ne font réellement rien de malveillant. Elles ne font en fait rien du tout. Elles servent simplement de coquilles pour collecter de l’argent pour des services qui n’existent pas.
Le minage de crypto monnaies (ou crypto minage) utilise la puissance de traitement d’ordinateurs pour résoudre des problèmes mathématiques complexes qui permettent de vérifier les transactions de crypto monnaies, et les mineurs sont alors rétribués avec une petite quantité de crypto monnaie. Une stratégie de minage courante est appelée ‘pools de minage’ où des individus participent avec leur puissance de traitement à la production de crypto monnaie et sont retribués en proportion de leur contribution.
Le minage dans le cloud est l’évolution des pools de minage tout comme le cloud computing est l’évolution des traitements dans un data center sur site. Au lieu que les utilisateurs achètent des ordinateurs et payent des factures d’électricité pour contribuer à un ‘pool’, les mineurs dans le cloud louent de la puissance de traitement dans le cloud. Le minage dans le cloud introduit à la fois de la simplicité et des risques de cyber sécurité. En raison de la simplicité et de l’agilité du cloud computing, il est rapide et facile de mettre en place un service de crypto minage qui a l’air légitime mais qui est en fait une escroquerie. Des cyber criminels ont mis en place des schémas similaires pour leurrer des utilisateurs sur ordinateur et le Lookout Threat Lab a identifié la première escroquerie qui intègre ce schéma dans des applications mobiles.
Des opérations légitimes de minage dans le cloud peuvent certes utiliser une application mobile comme leur tableau de bord, et dans ce cas on peut s’attendre à ce que l’application utilise du code de grande qualité et respecte des pratiques de codage sécurisées. L’analyse des applications BitScam et CloudScam montre une situation toute différente. Même si elles sont supposées réaliser de nombreuses opérations de minage différentes, toutes les applications analysées partagent une conception et un codage très similaire, qui sont décrits plus bas. Pour illustrer à quel point elles ne montrent aucune sophistication, les applications BitScam sont créées en utilisant un ‘framework’ qui ne nécessite aucune expérience de programmation.
La majorité des applications BitScam et CloudScam sont payantes. Ce qui veut dire que les acteurs de menaces empochent l’argent à partir des ventes de ces applications. Les applications CloudScam et BitScam offrent également toutes deux des abonnements et des services liés au crypto minage que les utilisateurs peuvent payer via le système de facturation intégré dans Google Play. La différence avec les applications BitScam est qu’elles acceptent aussi les paiements en Bitcoin et en Ethereum.
Même si les applications CloudScam et BitScam ont été désormais retirées de Google Play, il en existe encore des douzaines d’autres toujours en circulation sur des app stores tiers. Au total, leurs opérateurs ont généré au moins 350 000 $. Ils ont soutiré 300 000$ de la vente des fausses applications et 50 000 $ supplémentaires en crypto monnaies de leurs victimes payant pour de faux services et fausses mises à niveau. Acheter des biens et services en ligne requiert toujours un certain degré de confiance dans le vendeur ou au moins dans l’app store qui traite la transaction. Ceci est vrai pour toute transaction en ligne, mais c’est encore plus important lorsqu’il s’agit de services financiers tels que des investissements en crypto monnaie.
Les escrocs à l’origine de ces combines ont pu exploiter l’engouement existant créé par le boom du marché des crypto monnaies. Mais quelle que soit la hausse de la valorisation de ces monnaies, la prudence reste de mise avant d’acquérir une application mobile de crypto minage.
Pour démasquer des escrocs du crypto minage, le plus important est de suivre les cinq recommandations ci-dessous :