Des chercheurs en sécurité ont découvert plus de 170 applications Android qui ont escroqué des dizaines de milliers d’amateurs de crypto-monnaies pour les amener à payer des services inexistants.
Lookout Threat Lab a révélé que 25 des apps frauduleuses étaient même répertoriées sur la place de marché officielle Google Play.
Il les a séparées en deux groupes, BitScam et CloudScam, bien que toutes utilisent des modèles commerciaux similaires et le même codage et design.
Les deux familles d’applications frauduleuses promettent à l’utilisateur l’accès à des services de minage de crypto-monnaies, profitant de la récente flambée de la valeur des monnaies numériques et de l’intérêt généralisé des consommateurs qui espèrent gagner rapidement de l’argent.
On estime que les auteurs de ces applications ont gagné environ 350 000 dollars auprès de leurs victimes en leur faisant payer le téléchargement initial de l’application et les mises à jour ultérieures du « matériel virtuel » ou des « abonnements » qui prétendent augmenter les taux de minage des pièces.
En réalité, les applications n’offrent rien en apparence, selon Ioannis Gasparis, chercheur en sécurité des applications chez Lookout.
Après s’être connecté, l’utilisateur est accueilli par un tableau de bord d’activité qui affiche le taux de hachage disponible ainsi que le nombre de pièces qu’il a « gagnées ». Le taux de hachage affiché est généralement très faible afin d’inciter l’utilisateur à acheter des mises à niveau qui promettent des taux de minage plus rapides », explique-t-il.
« Après avoir analysé le code et le trafic réseau, nous avons également découvert que les applications affichent un solde de pièces fictif et non le nombre de pièces minées. »
Les utilisateurs ne sont pas autorisés à retirer des pièces tant que le solde de leur compte n’a pas atteint un niveau minimum, ce qui est impossible puisque les soldes sont fréquemment remis à zéro.
« Ce qui a permis aux applications BitScam et CloudScam de passer sous le radar, c’est qu’elles ne font rien de réellement malveillant », a déclaré Gasparis. « En fait, elles ne font presque rien du tout. Elles sont simplement des coquilles pour collecter de l’argent pour des services qui n’existent pas. »
Ces applications ont escroqué environ 96 000 victimes. Bien que Google Play ait supprimé les titres incriminés, des dizaines d’autres demeurent sur des magasins d’applications tiers, a prévenu Lookout.