Исследователи кибербезопасности обнаружили 18 вредоносных кредитных приложений для Android в Google Play Store, которые в совокупности были загружены более 12 миллионов раз.
"Несмотря на их привлекательный внешний вид, эти сервисы на самом деле предназначены для обмана пользователей, предлагая им кредиты с высокой процентной ставкой, подтвержденные лживыми описаниями, при этом собирая личную и финансовую информацию своих жертв, чтобы шантажировать их и в конце концов завладеть их средствами", - заявили в ESET.
Словацкая компания по кибербезопасности отслеживает эти приложения под названием SpyLoan, отмечая, что они предназначены для потенциальных заемщиков, расположенных в Юго-Восточной Азии, Африке и Латинской Америке.
Список приложений, которые в настоящее время были удалены Google, приведен ниже -
- AA Kredit: इंस्टेंट लोन ऐप (com.aa.kredit.android)
- Amor Cash: Préstamos Sin Buró (com.amorcash.credito.prestamo)
- Oro Préstamo - Efectivo rápido (com.app.lo.go)
- Cashwow (com.cashwow.cow.eg)
- CrediBus Préstamos de crédito (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
- ยืมด้วยความมั่นใจ - ยืมด่วน (com.flashloan.wsft)
- PrestamosCrédito - GuayabaCash (com.guayaba.cash.okredito.mx.tala)
- Préstamos De Crédito-YumiCash (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
- Go Crédito - de confianza (com.mlo.xango)
- Instantáneo Préstamo (com.mmp.optima)
- Cartera grande (com.mxolp.postloan)
- Rápido Crédito (com.okey.prestamo)
- Finupp Lending (com.shuiyiwenhua.gl)
- 4S Cash (com.swefjjghs.weejteop)
- TrueNaira – Онлайн-кредит (com.truenaira.cashloan.moneycredit)
- EasyCash (king.credit.ng)
- สินเชื่อปลอดภัย - สะดวก (com.sc.safe.credit)
SMS-сообщения и каналы социальных сетей, такие как Twitter, Facebook и YouTube, являются основными источниками заражения, хотя приложения также доступны для скачивания с мошеннических веб-сайтов и сторонних магазинов приложений.
"Ни один из этих сервисов не предоставляет возможности запросить кредит с помощью веб-сайта, поскольку через браузер вымогатели не могут получить доступ ко всем конфиденциальным данным пользователя, которые хранятся на смартфоне и необходимы для шантажа", - сказал исследователь безопасности ESET Лукаш Штефанко.
Эти приложения являются частью более широкой схемы, которая датируется 2020 годом и дополняет серию из более чем 300 приложений для Android и iOS, которые раскрыли Kaspersky, Lookout и Zimperium в прошлом году и которые использовали "стремление жертв к быстрым деньгам, чтобы заманивать заемщиков в хищнические кредитные договоры и требовать от них предоставления доступа к конфиденциальной информации, такой как контакты и SMS-сообщения".
Помимо сбора информации со скомпрометированных устройств, операторы SpyLoan также были замечены прибегающими к тактике шантажа и домогательств, чтобы заставить жертв производить платежи, угрожая опубликовать их фотографии и видео в социальных сетях.
В одном сообщении, идентифицированном The Hacker News и размещенном в справочном сообществе Google Play ранее в феврале этого года, пользователь из Нигерии обвинил EasyCash в том, что она "мошенническим путем предоставляет своим жертвам кредиты под высокие и непомерные проценты и принудительно заставляет их платить, используя угрозы о шантаже, диффамации и убийстве репутации, когда очевидно, что у них есть адрес должника и полное название правительства, включая его банковский идентификационный номер (BVN), но они все равно продолжают смущать людей, подвергая их ненужному давлению и панике".
Более того, приложения используют вводящие в заблуждение политики конфиденциальности, чтобы объяснить, зачем им нужны разрешения на доступ к медиафайлам пользователей, камере, календарю, контактам, журналам вызовов и SMS-сообщениям. Некоторые приложения также содержали ссылки на поддельные веб-сайты, изобилующие украденными фотографиями офисной обстановки и стоковыми изображениями, в попытке придать своей деятельности видимость законности.
Чтобы снизить риски, связанные с такими шпионскими угрозами, рекомендуется использовать официальные источники для загрузки приложений, проверять подлинность таких предложений, а также внимательно изучать обзоры и разрешения перед установкой.
SpyLoan служит "важным напоминанием о рисках, с которыми сталкиваются заемщики при поиске финансовых услуг онлайн", - сказал Штефанко. "Эти вредоносные приложения используют доверие пользователей к законным поставщикам кредитов, используя сложные методы для обмана и кражи очень широкого спектра личной информации".
Разработка также последовала за возрождением банковского троянца Android под названием TrickMo, который маскируется под бесплатное потоковое приложение и оснащен улучшенными возможностями, такими как кража содержимого экрана, загрузка модулей среды выполнения и наложение инъекций для извлечения учетных данных из целевых приложений, в дополнение к использованию JsonPacker для сокрытия своего вредоносного кода.
"Переход вредоносного ПО к оверлейным атакам, использование им JsonPacker для обфускации кода и его согласованное поведение с сервером командования и контроля подчеркивают стремление злоумышленника совершенствовать свои стратегии", - сказал Cyble в анализе на прошлой неделе.
