بدافزار SpyLoan 8 میلیون کاربر اندروید را آلوده کرده است

محققان امنیت سایبری بیش از دوجین اپلیکیشن تهدیدآمیز را در فروشگاه گوگل پلی کشف کرده اند که مجموعا بیش از 8 میلیون دانلود دارند. این برنامه ها دارای یک تهدید شناخته شده با عنوان SpyLoan هستند که کاربران را از طریق اقدامات فریبنده هدف قرار می دهد. پس از نصب، این برنامه ها با دسترسی غیرمجاز به داده های حساس و وادار کردن کاربران به طرح های مالی مضر از قربانیان خود سوء استفاده می کنند.

طعمه: وام های سریع برای افراد بی احتیاط

این برنامه ها خود را به عنوان ارائه دهندگان وام های سریع با حداقل نیازها معرفی می کنند و کاربران مناطقی مانند مکزیک، کلمبیا، سنگال، تایلند، اندونزی، ویتنام، تانزانیا، پرو و شیلی را هدف قرار می دهند. آنها با شکار ناامیدی مالی، افراد ناآگاهی را جذب می کنند که به دنبال تسکین فوری هستند.

در میان برنامه‌های شناسایی شده، برخی از آنها برای همسویی با خط‌مشی‌های Google Play تغییر کرده‌اند. با این حال، خطرات اساسی آنها همچنان ادامه دارد و نیاز به هوشیاری را برجسته می کند. لیست کامل برنامه های SpyLoan کشف شده شامل:

Préstamo Seguro-Rápido، Seguro (com.prestamoseguro.ss)

Préstamo Rápido-Credit Easy (com.voscp.rapido)

ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)

RupiahKilat-Dana cair (com.rupiahkilat.best)

ยืมอย่างมีความสุข - เงินกู้ (com.gotoloan.cash)

เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)

KreditKu-Uang Online (com.kreditku.kuindo)

Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)

وام نقدی-Vay tiền (com.vay.cashloan.cash)

RapidFinance (com.restrict.bright.cowboy)

PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)

Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)

IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)

ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)

ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

مهندسی اجتماعی و مجوزهای نفوذی

موفقیت SpyLoan در اتکای آن به تاکتیک های مهندسی اجتماعی نهفته است. این برنامه ها اغلب به طور تهاجمی در پلتفرم های رسانه های اجتماعی مانند فیس بوک برای فریب قربانیان تبلیغ می کنند. پس از نصب، آنها مجوزهای بیش از حد، از جمله دسترسی به لیست مخاطبین، گزارش تماس ها، داده های دوربین و حتی پیام های SMS را درخواست می کنند. این مجوزها که تحت پوشش تأیید هویت و جلوگیری از کلاهبرداری توجیه می شوند، برنامه ها را قادر می سازد اطلاعات شخصی را به صورت مخفیانه جمع آوری کنند.

کاربران همچنین ملزم به ارائه جزئیات حساس مانند اطلاعات حساب بانکی، اعتبار کارمندان و شناسه های صادر شده توسط دولت هستند. سپس این داده ها با استفاده از AES-128 رمزگذاری شده و به یک سرور Command-and-Control (C2) فرستاده می شود و ردیابی آن را به چالش می کشد.

یک تهدید مکرر: تاریخ تاریک SpyLoan

SpyLoan تازه وارد به دنیای کلاهبرداری آنلاین نیست. اولین بار در سال 2020 شناسایی شد و از آن زمان به اشکال مختلف دوباره ظهور کرد. گزارشی از دسامبر 2023 از 18 برنامه تهدیدکننده دیگر پرده برداری کرد که به بهانه ارائه وام های سریع کار می کردند. هدف نهایی این برنامه ها یکسان است: استخراج حداکثر داده های کاربر و سوء استفاده از قربانیان از طریق اخاذی و آزار و اذیت.

داده‌های جمع‌آوری‌شده ممکن است برای اعمال نرخ‌های بهره گزاف یا ترساندن کاربرانی که موفق به بازپرداخت به موقع آن‌ها نمی‌شوند، استفاده شود. در برخی موارد، عکس‌های شخصی دزدیده شده برای تهدید قربانیان مورد استفاده قرار گرفته‌اند و تجاوز شدید به حریم خصوصی را که این برنامه‌ها تسهیل می‌کنند، برجسته می‌کنند.

کد مشترک، دسترسی جهانی

مشخص شده است که برنامه های SpyLoan یک چارچوب یکپارچه را هم از نظر طراحی و هم از نظر عملکرد به اشتراک می گذارند. این پایگاه کد ماژولار به مجرمان سایبری اجازه می دهد تا این برنامه ها را در مناطق مختلف مستقر کنند و آنها را برای سوء استفاده از آسیب پذیری های محلی سفارشی کنند. علیرغم تفاوت‌ها در رابط‌های کاربری و استراتژی‌های هدف‌گیری، این برنامه‌ها با مکانیسم‌های بسیار مشابهی کار می‌کنند.

اشتراک کد در هر دو سطح برنامه و سرور C2 حاکی از دخالت یک توسعه دهنده یا استفاده از یک چارچوب تقلبی مشترک است که به مجرمان سایبری فروخته شده است. این رویکرد مقیاس‌پذیر تضمین می‌کند که تهدید پایدار باقی می‌ماند، حتی زمانی که مقامات برای از بین بردن اپراتورهای خاص تلاش می‌کنند.

شکستن چرخه استثمار

برنامه های کاربردی SpyLoan نه تنها از ناامیدی مالی بلکه از اعتماد کاربران به فروشگاه های اپلیکیشن و پلتفرم های دیجیتال نیز سوء استفاده می کنند. برای محافظت در برابر چنین تهدیداتی، کاربران باید اقدامات پیشگیرانه را انجام دهند. بررسی مجوزهای برنامه، بررسی دقیق نظرات کاربران، و تأیید اعتبار توسعه‌دهنده، مراحل حیاتی قبل از دانلود هر برنامه هستند.

علاوه بر این، کاربران باید مراقب برنامه‌هایی باشند که خواستار دسترسی غیرضروری به داده‌های شخصی یا درخواست اسناد حساس به بهانه‌های مشکوک هستند. اتخاذ این اقدامات احتیاطی می تواند به کاهش خطرات ناشی از برنامه های فریبنده مانند برنامه های مرتبط با SpyLoan کمک کند.

یک چالش مداوم

حماسه SpyLoan یک مسئله جهانی در اکوسیستم دیجیتال را برجسته می کند. در حالی که سازمان‌های مجری قانون با موفقیت برخی از عملیات‌ها را منحل کرده‌اند، گروه‌های جدیدی به طور مداوم ظهور می‌کنند و تاکتیک‌های مشابهی را اتخاذ می‌کنند. بهره‌برداری مداوم بر نیاز به قوانین سخت‌گیرانه‌تر فروشگاه اپلیکیشن و افزایش آگاهی عمومی برای مهار این فعالیت‌های متقلبانه تاکید می‌کند.

تکامل مداوم SpyLoan نشان می دهد که چگونه بازیگران بدخواه برای حفظ طرح های خود سازگار می شوند. آنها با استفاده از طرح‌های مدولار و هدف قرار دادن بازارهای فاقد خدمات، جریان ثابتی از قربانیان را تضمین می‌کنند و کاربران را در برابر سوء استفاده‌های مالی و حریم خصوصی آسیب‌پذیر می‌کنند. هشیاری و آگاه ماندن موثرترین دفاع در برابر چنین تهدیداتی است.