Le truffe legate alla cripto valuta su Android hanno vita più semplice di quanto pensiate: attenzione alle app fake

Vincenzo Ronca Stando a quanto emerge da una ricerca svolta da ESET, le truffe legate alle monete virtuali hanno alta incidenza su Android grazie alla facilità di creazione delle app fake collegate ai servizi per le cripto valute

Torniamo a parlare del mining delle cripto valute per concentrarci sulle truffe ad esso legate: in Europa l’incidenza di JS/Coinminer, malware per il mining delle monete virtuali, è ancora alta ed allarmante stando alla ricerca svolta da ESET, società di sicurezza informatica. Sebbene in Italia sia scesa dal 32% di gennaio al 18% di inizio marzo, le percentuali rimangono molto alte in paesi come Spagna, Ungheria e Grecia.

La piattaforma Android sembra uno dei terreni fertili per queste truffe perché molti servizi ed app collegate alle cripto valuta non hanno ancora una versione ufficiale sul Play Store. Casi del genere sono stati riscontrati dai ricercatori ESET con le app Poloniex e MyEtherWallet: per entrambe non esistono versioni ufficiali dell’app mobile, per cui sono create molte app fake con l’unico scopo di rubare dati personali agli utenti per poi finalizzare le truffe.

Il tutto viene incoraggiato dal proliferare delle recensioni e valutazioni positive collegate a queste app fake, ottenute anche dietro compenso di somme di cripto valuta come è avvenuto per Bitcoin Miner Android, la quale prometteva 50.000 Satoshi (equivalenti a 0,0005 Bitcoin) per una recensione a 5 stelle. Inoltre, esistono anche giochi finalizzati al mining delle monete virtuali: è il caso di Bug Smasher (il nome non prometteva bene), gioco con più di 1 milione di download, che nascondeva una libreria per generare la cripto valuta Monero.

Dunque, quali sono le accortezze da tenere per noi utenti? I ricercatori raccomandano, ovviamente, di stare attenti alle recensioni (cercando e leggendo le negative) e numero di download prima di scaricare un’app dal Play Store. Inoltre, è importante cercare di usare sempre servizi ed app ufficiali, trattare i portafogli di cripto valuta come se fossero app di home banking e tenere costantemente aggiornato il proprio dispositivo Android.

Infine, tenere sempre a mente la buona vecchia regola: se qualcosa vi sembra troppo bella e troppo semplice probabilmente è una truffa, nessuno regala niente per niente.

Roma, 7 marzo 2018 – Il boom delle monete virtuali continua a crescere e di conseguenza le truffe ad esse legate:  secondo i ricercatori di ESET, seppure in Italia l’incidenza di JS/Coinminer – il minaccioso malware per il mining delle cripto valute –  ha subito negli ultimi due mesi una battuta d’arresto scendendo dal picco del 32% di gennaio 2018 al 18% di inizio marzo, in alcune nazioni europee il livello d’allerta è ancora altissimo e si registrano a tutt’oggi percentuali allarmanti come per la Spagna (39%), Ungheria (30%) e Grecia (28%).

La piattaforma Android non è stata risparmiata dai tentativi di frode, anzi rappresenta la nuova frontiera del cyber crime legato alle cripto valute, considerato che molti dei servizi e delle app ad esse legati non hanno ancora una versione mobile ufficiale e che è facile imbattersi su Google Play in valutazioni e recensioni fasulle. Tutto questo aumenta la possibilità per gli hacker di ingannare gli ignari utenti. Vediamo come:

Nel corso dell’ultimo anno i ricercatori di ESET hanno riportato due casi di app fake di Poloniex, uno dei leader degli scambi di cripto valuta a livello mondiale. Oltre a raccogliere le credenziali di accesso a Poloniex, le finte app hanno cercato di ingannare le vittime per ottenere i dati dei loro account Gmail. Da allora, la tendenza alla creazione di app false per gli scambi o la gestione di portafogli di cripto valute esistenti è costantemente aumentata. Solo per Poloniex, i ricercatori di ESET hanno riscontrato almeno altre sette varianti di applicazioni fake.

Le app fake per la gestione dei portafogli di monete virtuali si basano su un semplice principio: subito dopo essere state lanciate e senza richiedere alcun tipo di registrazione, le app fingono di generare una chiave pubblica per un nuovo portafoglio, presentata come testo copiabile e / o QR code scansionabile. Se gli utenti seguono le istruzioni e inviano valuta a questo portafoglio, scopriranno che non possono eseguire ulteriori azioni con l’importo che hanno inviato, mentre i criminali potranno accedervi e l’importo inviato sarà ora a loro completa disposizione. I ricercatori di ESET hanno rilevato dozzine di app con questo tipo di comportamento fraudolento e le hanno segnalate ai team di sicurezza di Google, che le ha prontamente rimosse da Google Play. Un esempio di un portafoglio di cripto valute che è stato continuamente sfruttato dai truffatori nell’ultimo anno è MyEtherWallet, un famoso portafoglio Ethereum open source. Come per Poloniex, MyEtherWallet attualmente non offre un’app Android ufficiale ed è quindi un facile obiettivo dei cyber criminali.

Con l’aumento generale delle attività legate alle cripto valute registrate negli ultimi mesi, anche il numero di sistemi per generare le monete virtuali su Android è aumentato. Le truffe in questo caso si ottengono includendo nelle app un framework per il crypto-mining o eseguendo degli script nei browser mobile, meglio noti come mining in-browser o cryptojacking. Un esempio recente di un’app che è stata usata impropriamente per nascondere attività di mining di monete digitali è stato Bug Smasher, un famoso gioco che è stato disponibile su Google Play dal novembre del 2011 ed è stato scaricato tra 1 e 5 milioni di volte prima di essere rimosso a gennaio del 2018 dopo la segnalazione degli esperti di ESET. Al momento della scoperta, il gioco conteneva un pacchetto di mining che utilizzava una libreria per generare la cripto valuta Monero.

A differenza delle app che nascondono le loro funzioni di mining, queste si presentano proprio come strumenti per consentire agli utenti di generare cripto valuta ma in realtà non fanno altro che attivare pop up pubblicitari. E per massimizzare l’effetto degli annunci, queste app truffa sono spesso progettate per incentivare gli utenti ad aprirle su base regolare, con la promessa di ricevere più monete “gratuite” ogni giorno. In alcuni dei falsi miner analizzati da ESET, il falso processo di mining è stato interrotto da popup che promettevano una ricompensa per aver lasciato le valutazioni a 5 stelle per l’app. Nei pop-up di Bitcoin Miner Android dello sviluppatore Miner Coin e Bitcoin Miner Automatic – Earn free Bitcoin di Mining and Utility Apps, il premio promesso era di 50.000 Satoshi (un Satoshi è attualmente l’unità più piccola in cui è possibile frazionare i bitcoin ed ammonta a 0.00000001 BTC).

Come proteggersi dalle truffe di cripto valute su Android

E’ importante essere consapevoli dei trucchi che stanno usando i truffatori sfruttando l’attuale mania della cripto valuta sulla piattaforma Android e adottare le giuste misure preventive. Ecco i suggerimenti di ESET per stare al sicuro:

  1. Prima di tutto bisogna trattare gli exchange e i portafogli di cripto valuta con lo stesso livello di cautela adottato per le app di home banking.
  2. Se si desidera scaricare un’app mobile per uno scambio di moneta digitale o un portafoglio, assicurarsi innanzitutto che il servizio ne offra una ufficiale. In tal caso, l’app dovrebbe essere collegata al sito Web originale del servizio, reindirizzando a un download legittimo.
  3. Se è disponibile, utilizzare l’autenticazione a due fattori per proteggere gli account dell’exchange o del portafoglio per un livello di sicurezza aggiuntivo.
  4. Quando si scarica un’app da Google Play, prestare attenzione al numero di download, considerandone anche le valutazioni e le recensioni. Fare molta attenzione alle nuove app pubblicate con recensioni positive dal tono troppo generico e concentrarsi invece su quelle negative.
  5. Se qualcosa sembra troppo buono per essere vero, molto probabilmente è così ed è molto improbabile che un’app per Android regali gratuitamente dei bitcoin o altre cripto valute.
  6. Mantenere aggiornato il dispositivo Android e utilizzare un’efficace soluzione di sicurezza mobile per difenderlo dalle ultime minacce.