I ricercatori di ESET alla scoperta di truffe e fake app

Decentralized Finance

Il successo delle monete virtuali ha fatto sì che truffe e app fake collegate alle criptovalute siano in aumento: i ricercatori di ESET le studiano e le scoprono. Secondo i ricercatori di ESET, seppure in Italia l’incidenza di JS/Coinminer, il minaccioso malware per il mining delle cripto valute, ha subito negli ultimi due mesi una battuta d’arresto, in alcune nazioni europee il livello d’allerta è ancora altissimo e si registrano a tutt’oggi percentuali allarmanti. La piattaforma Android non è stata risparmiata dai tentativi di frode, anzi rappresenta la nuova frontiera del cybercrime legato alle cripto valute. Tutto questo aumenta la possibilità per gli hacker di ingannare gli ignari utenti. Vediamo come.

False app per lo scambio di cripto valuta – il caso Poloniex
Nel corso dell’ultimo anno i ricercatori di ESET hanno riportato due casi di app fake di Poloniex. Oltre a raccogliere le credenziali di accesso a Poloniex, le finte app hanno cercato di ingannare le vittime per ottenere i dati dei loro account Gmail. Da allora, la tendenza alla creazione di app false per gli scambi o la gestione di portafogli di cripto valute esistenti è costantemente aumentata.

MyEtherWallet e le app fasulle per la gestione dei portafogli di cripto valuta
Le app fake per la gestione dei portafogli di monete virtuali si basano su un semplice principio: subito dopo essere state lanciate e senza richiedere alcun tipo di registrazione, le app fingono di generare una chiave pubblica per un nuovo portafoglio, presentata come testo copiabile e/o QR scansionabile. Se gli utenti seguono le istruzioni e inviano valuta a questo portafoglio, scopriranno che non possono eseguire ulteriori azioni con l’importo che hanno inviato, mentre i criminali potranno accedervi e l’importo inviato sarà ora a loro completa disposizione. I ricercatori di ESET hanno rilevato dozzine di app con questo tipo di comportamento fraudolento e le hanno segnalate ai team di sicurezza di Google, che le ha prontamente rimosse da Google Play.

Malware Android per il mining delle valute digitali
Con l’aumento generale delle attività legate alle cripto valute registrate negli ultimi mesi, anche il numero di sistemi per generare le monete virtuali su Android è aumentato. Un esempio recente di un’app che è stata usata impropriamente per nascondere attività di mining di monete digitali è stato Bug Smasher, un famoso gioco che è stato disponibile su Google Play dal novembre del 2011 ed è stato scaricato tra 1 e 5 milioni di volte prima di essere rimosso a gennaio del 2018 dopo la segnalazione di ESET.

5 stelle per promesse mai mantenute: falsi miner di bitcoin
A differenza delle app che nascondono le loro funzioni di mining, queste si presentano proprio come strumenti per consentire agli utenti di generare cripto valuta ma in realtà non fanno altro che attivare pop up pubblicitari. E per massimizzare l’effetto degli annunci, queste app truffa sono spesso progettate per incentivare gli utenti ad aprirle su base regolare, con la promessa di ricevere più monete “gratuite” ogni giorno.

Come proteggersi dalle truffe di cripto valute su Android
Ecco i suggerimenti di ESET:
1. Prima di tutto bisogna trattare gli exchange e i portafogli di cripto valuta con lo stesso livello di cautela adottato per le app di home banking.
2. Se si desidera scaricare un’app mobile per uno scambio di moneta digitale o un portafoglio, assicurarsi che il servizio ne offra una ufficiale. In tal caso l’app dovrebbe essere collegata al sito web originale del servizio, reindirizzando a un download legittimo.
3. Se è disponibile, utilizzare l’autenticazione a due fattori per proteggere gli account dell’exchange o del portafoglio per un livello di sicurezza aggiuntivo.
4. Quando si scarica un’app da Google Play, prestare attenzione al numero di download, considerandone anche le valutazioni e le recensioni. Fare molta attenzione alle nuove app pubblicate con recensioni positive dal tono generico e concentrarsi su quelle negative.
5. Se qualcosa sembra troppo buono per essere vero, molto probabilmente è così ed è molto improbabile che un’app per Android regali gratuitamente dei bitcoin o altre cripto valute.
6. Mantenere aggiornato il dispositivo Android e utilizzare un’efficace soluzione di sicurezza mobile per difenderlo dalle ultime minacce.