Több mint egy tucat rosszindulatú Android-alkalmazást azonosítottak a Google Play Áruházban, amelyek összesen több mint 8 millió letöltéssel rendelkeznek, és a McAfee Labs új kutatásai szerint SpyLoan néven ismert kártevőt tartalmaznak.
„Ezek a PUP (potenciálisan nemkívánatos programok) alkalmazások szociális manipulációs taktikákat használnak, hogy a felhasználókat érzékeny információk megadására és extra mobilalkalmazási engedélyek megadására vegyék rá, ami zsaroláshoz, zaklatáshoz és anyagi veszteségekhez vezethet” – mondta Fernando Ruiz biztonsági kutató a napokban közzétett elemzésében.
A célországok és az alkalmazások működése
Az újonnan felfedezett alkalmazások gyors kölcsönöket kínálnak minimális követelményekkel, hogy felkeltsék a gyanútlan felhasználók érdeklődését Mexikóban, Kolumbiában, Szenegálban, Thaiföldön, Indonéziában, Vietnámban, Tanzániában, Peruban és Chilében.
Az alábbiakban felsoroljuk a 15 kizsákmányoló kölcsönalkalmazást. Ezek közül öt még mindig elérhető az áruházban, bár állítólag módosításokat végeztek rajtuk, hogy megfeleljenek a Google Play szabályzatának:
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
- Préstamo Rápido-Credit Easy (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Cash Loan-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Néhány ilyen alkalmazást közösségi médiaplatformokon, például a Facebookon keresztül is hirdettek, ami azt mutatja, hogy a fenyegetés színfalai mögött állók különféle módszerekkel próbálják átverni a potenciális áldozatokat.
A SpyLoan nem először bukkan fel: először 2020-ban jelent meg, és az ESET 2023 decemberi jelentése újabb 18 alkalmazást tárt fel, amelyek célja a felhasználók becsapása volt magas kamatozású kölcsönök felajánlásával, miközben titokban gyűjtötték a személyes és a pénzügyi adataikat.
A pénzügyi csalás célja, hogy a lehető legtöbb információt gyűjtsék össze a fertőzött eszközökről, amelyeket ezután a felhasználók zsarolására, magasabb kamatok kifizetésére kényszerítésére, késedelmes fizetések vagy személyes képek eltulajdonítása révén történő megfélemlítésre használnak.
„Ezek az alkalmazások nem nyújtanak valós pénzügyi segítséget, hanem az adósság- és az adatvédelmi problémák ördögi körébe taszítják a felhasználókat” – mondta Ruiz.
Annak ellenére, hogy a célközönség eltérő, az alkalmazások közös keretrendszert használnak az adatok titkosítására és az áldozatok eszközeiből történő kiexportálására egy parancs- és vezérlőszerverre (C2). Emellett hasonló felhasználói élményt és beléptetési folyamatot követnek a kölcsönigényléshez.
Hogyan használják ki az alkalmazások az engedélyeket?
Az alkalmazások számos tolakodó engedélyt kérnek, amelyek lehetővé teszik a rendszerinformációk, a kamera, a hívásnaplók, a névjegyzékek, a hozzávetőleges helymeghatározás és az SMS-üzenetek begyűjtését. Az adatok gyűjtését azzal indokolják, hogy azokra a felhasználói azonosításhoz és csalás elleni intézkedésekhez van szükség.
A szolgáltatásra regisztráló felhasználókat egy egyszeri jelszóval (OTP) érvényesítik, hogy biztosítsák, hogy az adott régióban használják a telefonszámot. Emellett további azonosító dokumentumok, bankszámlák és munkáltatói információk megadására kérik őket, amelyeket később AES-128 titkosítással exportálnak a C2 szerverre.
Az ilyen alkalmazások által jelentett kockázatok mérséklése érdekében elengedhetetlen az alkalmazásengedélyek áttekintése, az alkalmazásértékelések alapos átvizsgálása, valamint az alkalmazásfejlesztő megbízhatóságának ellenőrzése letöltés előtt.
„Az olyan Android-alkalmazások, mint a SpyLoan, globális problémát jelentenek. Ezeket a kiberbűnözők használják arra, hogy kihasználják a felhasználók bizalmát és anyagi kiszolgáltatottságát” – mondta Ruiz. „Bár a bűnüldöző szervek több csoportot is letartóztattak, amelyek SpyLoan alkalmazásokat üzemeltettek, új operátorok és kiberbűnözők továbbra is kihasználják ezeket a csalási tevékenységeket.”
A SpyLoan alkalmazások hasonló kódot használnak az alkalmazás és a C2 szintjén különböző kontinenseken. Ez arra utal, hogy közös fejlesztőről vagy olyan megosztott keretrendszerről van szó, amelyet kiberbűnözőknek árusítanak. Ez a moduláris megközelítés lehetővé teszi ezeknek a fejlesztőknek, hogy gyorsan terjesszék a rosszindulatú alkalmazásokat, amelyek az egyes piacokhoz igazítottak, miközben következetes modellt tartanak fenn a felhasználók megkárosítására.
Érdekelhet még: Indok nélkül törli játékait az áruházakból egy népszerű gyártó
Hungarian 