Više od deset malicioznih Android aplikacija indefikovani na Google Play Store-u koje su zajedno preuzete više od 8 miliona puta sadrže maliciozni softver poznat kao SpyLoan, prema novim otkrićima McAfee Labsa.
“Ove PUP (potencijalno neželjeni programi) aplikacije koriste taktiku društvenog inženjeringa da prevare korisnike da daju osjetljive informacije i daju dodatne dozvole za mobilne aplikacije, što može dovesti do iznude, uznemiravanja i finansijskog gubitka”, rekao je istraživač sigurnosti Fernando Ruiz u analizi objavljenoj posljednjoj sedmica.
Novootkrivene aplikacije navodno nude brze zajmove sa minimalnim zahtjevima kako bi privukle nesuđene korisnike u Meksiku, Kolumbiji, Senegalu, Tajlandu, Indoneziji, Vijetnamu, Tanzaniji, Peruu i Čileu.
15 predatorskih kreditnih aplikacija su navedene u nastavku. Za pet od ovih aplikacija koje su još uvijek dostupne za preuzimanje iz službene trgovine aplikacija se kaže da su izvršile promjene kako bi bile u skladu s pravilima Google Playa.
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
- Préstamo Rápido-Credit Easy (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Gotovinski kredit-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Neke od ovih aplikacija su promovisane putem objava na platformama društvenih medija kao što je Facebook, što ukazuje na različite metode koje akteri prijetnji koriste kako bi prevarili žrtve da ih instaliraju.
SpyLoan je ponovljeni prestupnik koji datira još iz 2020. godine, s izvještajem ESET-a u decembru 2023. koji otkriva još jedan set od 18 aplikacija koje su pokušavale prevariti korisnike nudeći im kredite s visokim kamatama, dok su u tajnosti takođe prikupljali njihove lične i finansijske podatke.
Krajnji cilj finansijske šeme je prikupiti što je moguće više informacija sa zaraženih uređaja, koje bi se potom mogle iskoristiti za iznuđivanje korisnika prisiljavanjem da otplate kredite po višim kamatama, au nekim slučajevima i za odložena plaćanja ili zastrašivanje. sa ukradenim ličnim fotografijama.
“U konačnici, umjesto da pružaju istinsku finansijsku pomoć, ove aplikacije mogu odvesti korisnike u ciklus dugova i kršenja privatnosti”, rekao je Ruiz.
Uprkos razlikama u ciljanju, utvrđeno je da aplikacije dijele zajednički okvir za šifriranje i eksfiltriranje podataka sa uređaja žrtve na server za naredbu i kontrolu (C2). Oni takođe slijede slično korisničko iskustvo i proces uključivanja kako bi se prijavili za kredit.
Osim toga, aplikacije zahtijevaju brojne nametljive dozvole koje im omogućavaju prikupljanje sistemskih informacija, kamere, evidencije poziva, lista kontakata, grube lokacije i SMS poruka. Prikupljanje podataka je opravdano tvrdnjom da je potrebno kao dio identifikacije korisnika i mjera protiv prijevare.
Korisnici koji se registruju za uslugu provjeravaju se jednokratnom lozinkom (OTP) kako bi se osiguralo da imaju telefonski broj iz ciljane regije. Od njih se takođe traži da dostave dodatne identifikacione dokumente, bankovne račune i podatke o zaposlenima, koji se naknadno eksfiltriraju na C2 server u šifrovanom formatu koristeći AES-128 .
Da biste ublažili rizike koje predstavljaju takve aplikacije, od suštinskog je značaja da pregledate dozvole aplikacija, pažljivo pregledate recenzije aplikacija i potvrdite legitimnost programera aplikacije prije nego što ih preuzmete.
“Prijetnja Android aplikacija poput SpyLoan-a je globalni problem koji iskorištava povjerenje korisnika i finansijski očaj”, rekao je Ruiz. “Uprkos akcijama za provođenje zakona za hvatanje više grupa povezanih s radom SpyLoan aplikacija, novi operateri i cyber kriminalci nastavljaju da iskorištavaju ove aktivnosti prijevare.”
“SpyLoan aplikacije rade sa sličnim kodom na nivou aplikacije i C2 na različitim kontinentima. Ovo ukazuje na prisustvo zajedničkog programera ili zajedničkog okvira koji se prodaje cyber kriminalcima. Ovaj modularni pristup omogućava ovim programerima da brzo distribuiraju maliciozne aplikacije prilagođene različitim tržištima , iskorištavajući lokalne ranjivosti uz održavanje dosljednog modela za prevare korisnika.”
Izvor:The Hacker News