Les analystes de sécurité du Lookout Threat Lab ont identifié plus de 170 applications mobiles Android, dont 26 sur Google Play, conçues pour escroquer des personnes intéressées par les cryptomonnaies. Disponibles pour beaucoup d’entre elles dans le monde entier, ces applications mobiles se vantent d’offrir des services de minage de crypto monnaies moyennant finance. Après les avoir analysées, il s’avère qu’elles n’offrent aucune prestation de crypto minage. Pour protéger les utilisateurs Android, Google a rapidement retiré ces applications de Google Play. Les clients de Lookout Mobile Endpoint Security et de Lookout Personal Digital Safety sont protégés contre ces menaces.

La raison d’être de ces applications est de soutirer de l’argent à des utilisateurs via des processus de paiement légitimes, en ne délivrant jamais le service promis. Sur la base des analyses de Lookout, elles ont escroqué plus de 86.000 personnes et soutiré au moins 350.000$ entre les utilisateurs qui ont acheté les applications et ceux qui ont payé pour de faux services et mises à niveau supplémentaires.1 Lookout a classé ces applications dans deux catégories distinctes, qu’il a appelé BitScam et CloudScam.

En dépit de distinctions techniques entre ces deux catégories, toutes les applications utilisent un même ‘business model’, indiquant que de multiples acteurs criminels ont lancé des campagnes concurrentes pour cibler des utilisateurs de manière identique. La plupart des malwares exécutent du code qui déclenche des activités clairement malveillantes, telles que l’exfilitration de données personnelles vers un serveur de commande et contrôle, l’affichage de publicités en dehors du contexte de l’application, ou l’envoi de SMS payants. Les applications BitScam et CloudScam ont pu échapper aux radars car elles ne font réellement rien de malveillant. Elles ne font en fait rien du tout. Elles servent simplement de coquilles pour collecter de l’argent pour des services qui n’existent pas.

L’évolution du crypto minage facilite les escroqueries

Le minage de crypto monnaies (ou crypto minage) utilise la puissance de traitement d’ordinateurs pour résoudre des problèmes mathématiques complexes qui permettent de vérifier les transactions de crypto monnaies, et les mineurs sont alors rétribués avec une petite quantité de crypto monnaie.2 Une stratégie de minage courante est appelée ‘pools de minage’ où des individus participent avec leur puissance de traitement à la production de crypto monnaie et sont retribués en proportion de leur contribution.

Le minage dans le cloud est l’évolution des pools de minage tout comme le cloud computing est l’évolution des traitements dans un data center sur site. Au lieu que les utilisateurs achètent des ordinateurs et payent des factures d’électricité pour contribuer à un ‘pool’, les mineurs dans le cloud louent de la puissance de traitement dans le cloud. Le minage dans le cloud introduit à la fois de la simplicité et des risques de cyber sécurité. En raison de la simplicité et de l’agilité du cloud computing, il est rapide et facile de mettre en place un service de crypto minage qui a l’air légitime mais qui est en fait une escroquerie. Des cyber criminels ont mis en place des schémas similaires pour leurrer des utilisateurs sur ordinateur et le Lookout Threat Lab a identifié la première escroquerie qui intègre ce schéma dans des applications mobiles.

Comment fonctionnent les apps BitScam et CloudScam

Des opérations légitimes de minage dans le cloud peuvent certes utiliser une application mobile comme leur tableau de bord, et dans ce cas on peut s’attendre à ce que l’application utilise du code de grande qualité et respecte des pratiques de codage sécurisées. L’analyse des applications BitScam et CloudScam montre une situation toute différente. Même si elles sont supposées réaliser de nombreuses opérations de minage différentes, toutes les applications analysées partagent une conception et un codage très similaire, qui sont décrits plus bas. Pour illustrer à quel point elles ne montrent aucune sophistication, les applications BitScam sont créées en utilisant un ‘framework’ qui ne nécessite aucune expérience de programmation.

La majorité des applications BitScam et CloudScam sont payantes. Ce qui veut dire que les acteurs de menaces empochent l’argent à partir des ventes de ces applications. Les applications CloudScam et BitScam offrent également toutes deux des abonnements et des services liés au crypto minage que les utilisateurs peuvent payer via le système de facturation intégré dans Google Play. La différence avec les applications BitScam est qu’elles acceptent aussi les paiements en Bitcoin et en Ethereum.

Affichage de gains fictifs

Après s’être connecté avec succès, un utilisateur était accueilli avec un tableau de bord affichant le ‘hash rate’ disponible ainsi que le nombre de crypto monnaies qu’il avait “gagné”. Le ‘hash rate’ affiché était typiquement très bas afin d’inciter l’utilisateur à acheter des mises à niveau qui promettaient des taux de minage plus rapides. C’est là qu’à la fois BitScam et CloudScam empochaient plus d’argent en vendant des mises à niveau, des abonnements et des services supplémentaires.

Si le minage dans le cloud avait été réellement réalisé dans soit BitScam ou soit CloudScam, le montant de cryptomonnaie affiché aurait dû être stocké dans une base de données sécurisée dans le cloud et interrogé via une API. Après une analyse du code et du trafic réseau, Lookout a découvert que les applications affichaient une balance fictive de crypto monnaies et non pas le nombre de crypto monnaies minées. La valeur affichée était simplement un compteur lentement incrémenté dans l’application. Dans quelques-unes des applications analysées, ceci se produisait uniquement lorsque l’application fonctionnait en premier plan et le compteur était souvent remis à zéro lorsque le terminal mobile ou l’application était redémarré.

Dans l’application CloudScam “BTC Cash”, le GHash/sec est simplement un compteur qui se remet à zéro après avoir atteint le chiffre dix. Ceci ne lance aucune activité à partir de services cloud.
Activités de paiement

Une application BitScam affichant des mises à niveau “virtual hardware” promettant des vitesses de minage accrues pour l’utilisateur.

Comme décrit plus haut, il était proposé aux utilisateurs BitScam l’option d’acheter du “virtual hardware” (puissance de traitement virtuelle) pour accroître le taux de minage. Le coût de ce ‘virtual hardware’ variait de $12,99 à $259.99 et pouvait être acheté soit via Google Play soit en transférant des Bitcoin et/ou des Ethereum (BCH/BTC et/ou ETH) sur le compte des développeurs.

Les applications BitScam étaient conçues de sorte que les utilisateurs n’étaient pas “autorisés” à retirer toute crypto monnaie avant d’avoir atteint un résultat minimum. Même si un utilisateur avait atteint ce résultat minimum il ne pouvait retirer de crypto monnaie, comme indiqué dans certains commentaires sur l’app store. L’application affichait un message indiquant à l’utilisateur que la transaction de transfert était en cours, mais en coulisses, elle réinitialisait le montant atteint par l’utilisateur à zéro sans lui transférer la moindre somme d’argent.

Certaines autres applications remettaient fréquemment le compteur des utilisateurs à zéro afin de les empêcher d’atteindre le montant minimum. La remise à zéro pouvait intervenir lorsque le terminal mobile redémarrait, un utilisateur se déconnectait ou l’application ‘plantait’.

Les copies d’écran ci-dessous montrent la fonction de retrait au sein d’une application CloudScam. Comme avec les applications BitScam, un retrait de crypto monnaie est toujours impossible. Quel que soit le montant atteint, lorsqu’un utilisateur décide de retirer des crypto monnaies, il reçoit toujours un message d’erreur indiquant que son montant atteint est insuffisant.

L’application Cloud Scam “BTC Cash” empêche les utilisateurs de retirer leur montant atteint en cryptomonnaie.

Tout comme les applications BitScam, les applications CloudScam proposaient des options permettant aux utilisateurs de gagner plus de crypto monnaies à un rythme accéléré, telles qu’une “mise à niveau” vers un programme d’abonnement avec des montants minimum réduits pour les retraits et des taux de minage plus élevés, le parrainage d’amis et le reversement de 20% des gains des amis parrainés, et des récompenses quotidiennes. Aucune de ces options ne faisaient gagner des crypto monnaies aux utilisateurs. Au contraire elles généraient des revenus supplémentaires pour les escrocs derrière ces applications.

Payer pour rien : des acteurs malveillants exploitent l’engouement pour les cryptos

Même si les applications CloudScam et BitScam ont été désormais retirées de Google Play, il en existe encore des douzaines d’autres toujours en circulation sur des app stores tiers. Au total, leurs opérateurs ont généré au moins 350.000$. Ils ont soutiré 300.000$ de la vente des fausses applications et 50,000$ supplémentaires en crypto monnaies de leurs victimes payant pour de faux services et fausses mises à niveau.1

Acheter des biens et services en ligne requiert toujours un certain degré de confiance dans le vendeur ou au moins dans l’app store qui traite la transaction. Ceci est vrai pour toute transaction en ligne, mais c’est encore plus important lorsqu’il s’agit de services financiers tels que des investissements en crypto monnaie.

Les escrocs à l’origine de ces combines ont pu exploiter l’engouement existant créé par le boom du marché des crypto monnaies. Mais quelle que soit la hausse de la valorisation de ces monnaies, la prudence reste de mise avant d’acquérir une application mobile de crypto minage.

Pour démasquer des escrocs du crypto minage, le plus important est de suivre les cinq recommendations ci-dessous :

1. Connaître les développeurs à l’origine de l’app. Quels certificats ou références ont-ils, quelles autres apps ont-ils créé, la société a-t-elle un site web et êtes vous capable de les contacter ?
2. Installer l’app à partir d’un app store officiel. Même si les escroqueries sont difficiles à démasquer, télécharger à partir d’un app store officiel réduit le risque de recevoir un malware.
3. Lire les Conditions Générales. La plupart des fausses apps soit ont de fausses conditions générales, soit n’en affichent aucune
4. S’appuyer sur les commentaires d’autres utilisateurs de l’app. Lire les commentaires d’autres utilisateurs sur l’usage de l’application peut être révélateur pour identifier des escroqueries.
5. Comprendre les autorisations et les activités de l’app. Chercher les incohérences dans les activités de l’app. Demande-t-elle des permissions dont elle n’a pas besoin pour fonctionner ? L’app plante ou se réinitialise de façon abrupte, le montant atteint de crypto monnaie revient soudainement à zéro, les chiffres affichés ont-ils un sens ?

Prendre son temps, si une opportunité est trop belle pour être vraie, elle cache probablement une arnaque.

1 Les $300,000 ont été calculés sur la base du coût d’acquisition d’une app multiplié par le nombre d’installations des apps CloudScam et BitScam. Les $50,000 ont été calculés en utilisant le prix des Ethereums et Bitcoins sur le marché (en juin 2021) et la quantité de chaque monnaie que les victimes ont payée. Le chiffre de 86.000 pour les victimes est estimé sur la base du nombre d’installations de ces apps.
2 https://www.cyber.gov.au/acsc/view-all-content/threats/cryptomining