Le truffe su Android per arricchirsi con le criptovalute

MalwareMobile OsMobilitySicurezza
PayPal di eBay accetterà i BitCoin

Alcune delle truffe più diffuse su Android per fare soldi con le criptovalute. Dai finti “wallet”, alle app che invece di farvi “minare” denaro ve lo fanno fare per gli altri. I consigli di Eset

Le criptovalute più conosciute, si sa, sono basate sulle tecnologie blockchain. Queste ultime sono sicure, intrinsecamente lo sono anche le criptovalute, ma l’anonimato delle transazioni, e nel complesso la scarsa diffusione di competenze tra gli utenti, per utilizzarle in sicurezza, hanno consentito il proliferare di un’infinità di truffe, su ogni passaggio della filiera. Quindi la fase di mining (l’estrazione di criptovaluta attraverso la semplice elaborazione di dati) e tutte le fasi di scambio, compresi ovviamente gli attacchi ai wallet.

Eset ha rilevato un aumento di questo tipo di truffe su Android. Di vario tipo.
E mentre i dati raccontano che si registra in Italia una minor incidenza del malware per il mining JS/Coinminer (dal 32 percento a gennaio 2018 al 18 percento di inizio marzo), in alcune nazioni come Spagna, Ungheria e Grecia l’incidenza resta altissima.  

CoinMarketCap – le quotazioni delle più importanti criptovalute nel momento in cui scriviamo

Android, anche grazie alla sua diffusione, rappresenta quindi la nuova frontiera anche perché molti dei servizi e delle app ad esse legati non hanno ancora una versione mobile ufficiale ed è facile quindi trovare su Google Play valutazioni e recensioni fasulle.
Ma come funzionano le truffe più conosciute?
Per esempio ci sono app per lo scambio di criptovaluta, false, che si fingono applicazioni autentiche e riconosciute.

E’ il caso di Poloniex. Nel corso dell’ultimo anno i ricercatori di Eset hanno riportato due casi di app fake di Poloniex. E’ uno dei leader degli scambi di criptovaluta a livello mondiale, regolarmente “quotato”. Le finte app raccoglievano ovviamente le credenziali vere per Poloniex e cercavano di ingannare le vittime per ottenere i dati dei loro account Gmail. Tra l’altro, solo per Poloniex, i ricercatori di Eset hanno riscontrato almeno altre sette varianti di applicazioni fake.

Parlavamo appunto che per ogni passaggio nella gestione delle criptovalute è disponibile malware o sono state congegnate truffe. E infatti non sono poche le app fake per la gestione dei portafogli di monete virtuali. Esse si basano su un semplice principio: subito dopo essere state lanciate e senza richiedere alcun tipo di registrazione, le app fingono di generare una chiave pubblica per un nuovo portafoglio, presentata come testo copiabile e / o QR code scansionabile.

Gli utenti seguono le istruzioni e inviano valuta a questo portafoglio, per scoprire però di non possono eseguire nessun’altra operazione con l’importo che hanno inviato,perché l’accesso è garantio solo ai criminali e l’importo quindi è a loro completa disposizione. Sono in circolazione dozzine di queste app, segnalate e rimosse da Google Play, e tra le più note, già sfruttate c’è MyEtherWallet, si tratta di un portafoglio Ethereum che come anche Poloniex non aveva un’applicazione Android ufficiale e quindi è risultata più facile da “falsificare”. 

Tra le truffe in auge vi sono anche quelle che portano gli utenti di specifiche app a generare (“minare” si dice in gergo) nuova criptovaluta ma per conto terzi, quindi lasciando ai truffatori i guadagni. Infatti con l’aumento generale delle attività legate alle criptovalute registrate negli ultimi mesi, anche il numero di sistemi per generare le monete virtuali su Android è aumentato. Ecco come funzionano. I truffatori includono nelle app un framework per fare “mining” o per eseguire degli script nei browser mobile, meglio noti come mining in-browser o cryptojacking.

E’ il caso per esempio del gioco Bug Smasher, disponibile su Google Play dal novembre del 2011 scaricato tra 1 e 5 milioni di volte prima di essere rimosso a gennaio del 2018 dopo la segnalazione degli esperti di Eset. Il gioco conteneva un pacchetto di mining che utilizzava una libreria per generare la cripto valuta Monero.  Sempre in questo ambito mining vi sono poi app che simulano di minare criptovaluta ma generano e attivano solo pop-up pubblicitari. Il meccanismo è semplicissimo.

Queste app truffa sono progettate per incentivare gli utenti ad aprirle su base regolare, con la promessa ovviamente di “minare” più criptovalute giorno per giorno. Addirittura in alcuni casi il processo di mining è interrotto da popup che promettono una ricompensa per aver lasciato le valutazioni a 5 stelle per l’app.

Eset ha già svelato la truffa e spiega: nei pop-up di Bitcoin Miner Android dello sviluppatore Miner Coin e Bitcoin Miner Automatic – Earn free Bitcoin di Mining and Utility Apps, il premio promesso era di 50.000 Satoshi. Tutto falso ovviamente. 

Le criptovalute rappresentano indubbiamente un nuovo strumento, chi può ricordarlo, anche agli inizi di Internet, con la sua diffusione le truffe contavano proprio sulle opportunità offerte a chi, più esperto, poteva approfittarsene dei nuovi arrivati. E così anche oggi è importante un livello di consapevolezza superiore.

Eset suggerisce quindi in sei punti gli atteggiamenti intelligenti e i comportamenti da fare propri. 

1. Prima di tutto bisogna trattare gli exchange e i portafogli di cripto valuta con lo stesso livello di cautela adottato per le app di home banking.
2. Se si desidera scaricare un’app mobile per uno scambio di moneta digitale o un portafoglio, assicurarsi innanzitutto che il servizio ne offra una ufficiale. In tal caso, l’app dovrebbe essere collegata al sito Web originale del servizio, reindirizzando a un download legittimo.
3. Se è disponibile, utilizzare l’autenticazione a due fattori per proteggere gli account dell’exchange o del portafoglio per un livello di sicurezza aggiuntivo.
4. Quando si scarica un’app da Google Play, prestare attenzione al numero di download, considerandone anche le valutazioni e le recensioni. Fare molta attenzione alle nuove app pubblicate con recensioni positive dal tono troppo generico e concentrarsi invece su quelle negative.
5. Se qualcosa sembra troppo buono per essere vero, molto probabilmente è così ed è molto improbabile che un’app per Android regali gratuitamente dei bitcoin o altre cripto valute.
6. Mantenere aggiornato il dispositivo Android e utilizzare un’efficace soluzione di sicurezza mobile per difenderlo dalle ultime minacce.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore