170余款安卓应用程序以提供云端挖矿的名义行骗，近10万人受害

加密货币对于许多人相当有吸引力，但歹徒也盯上这块领域，来进行诈骗。行动装置防毒业者Lookout发现骇客锁定Android用户，以标榜可为用户挖矿获利的应用程序，来收取各式费用牟利，但实际上这些都是骗局，而且，背后发动攻击的可能还不只一组人马。

Lookout的研究人员最近发现了超过170个Android应用程序，以上述的名义，宣称提供云端的加密货币挖矿服务，并向用户收取相关费用，不过，研究人员在分析这些App后指出，这些软件的发行者实际上根本没有提供这类服务。而这些App当中，有25个已经上架到Google Play市集，Google获报后亦全数下架。

透过上述挖矿名义的App行骗，Lookout指出，攻击者至少诈骗了9万3千人，并从这些使用者支付的费用，例如购买应用程序功能、升级，以及服务当中，窃得了35万美元。

依据App所运用的技术差异，Lookout将它们分成2种攻击手法，并命名为BitScam和CloudScam。它们都标榜透过云端的矿池，为使用者挖矿，用户不需自行购买设备与消耗大量的电力，就能挖到加密货币获利。这些应用程序多半都是必须付费才能取得，而使用者运用当中的服务进行挖矿，可能还要订阅相关的服务，这些费用多半可以借由Google Play的应用程序内付款的方式支付。但不同的是，BitScam额外提供了比特币与以太坊等加密货币的支付方式。

一旦用户安装了歹徒提供的应用程序，他们会看到仪表板，显示挖掘的速度和“赚取”的加密货币数量。为了引诱受害者购买升级版服务，挖掘加密货币的速度非常缓慢。而在研究人员分析程式码后发现，这些App显示的加密货币数值其实是虚构的，仅是缓慢递增的计数器，而并非真正在挖矿的硬币数量。再者，这个计数器仅在前台执行，如果遇到装置重新开机或是应用程序重新开启，通常就会被归零。

这些应用程序内标示，加密货币必须达到一定的金额才能提领，但实际上，受害者就算真的达到了门槛，还是无法提款，应用程序仅会显示交易正在处理中，不过，在系统的层面而言，该App仅会把用户余额重置为零。针对这一波攻击，Lookout呼吁想要购买真实云端挖矿服务的用户，必须透过检视应用程序评价，并从Google Play等合法市集取得等方式，来避免受骗上当。