SpyLoan ļaunprātīga programmatūra inficē 8 miljonus Android lietotāju

Kiberdrošības pētnieki Google Play veikalā ir atklājuši vairāk nekā duci draudošu lietojumprogrammu, kuras kopā var lejupielādēt vairāk nekā 8 miljonus. Šajās lietojumprogrammās ir zināms apdraudējums, kas apzīmēts kā SpyLoan, kas ir vērsts uz lietotājiem, izmantojot maldinošu darbību. Pēc instalēšanas šīs lietojumprogrammas izmanto savus upurus, iegūstot nesankcionētu piekļuvi sensitīviem datiem un piespiežot lietotājus iesaistīties kaitīgās finanšu shēmās.

Ēsma: ātrie kredīti neuzmanīgajiem

Šīs lietojumprogrammas sevi parāda kā ātro kredītu sniedzējus ar minimālām prasībām, mērķējot uz lietotājiem tādos reģionos kā Meksika, Kolumbija, Senegāla, Taizeme, Indonēzija, Vjetnama, Tanzānija, Peru un Čīle. Iegūstot finansiālu izmisumu, viņi piesaista nenojaušus cilvēkus, kuri meklē tūlītēju atvieglojumu.

Dažas no identificētajām lietojumprogrammām ir mainītas, lai tās atbilstu Google Play politikām. Tomēr to pamatā esošie riski joprojām pastāv, uzsverot nepieciešamību ievērot modrību. Pilns atklāto SpyLoan lietotņu saraksts ietver:

Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )

Préstamo Rápido-Credit Easy (com.voscp.rapido)

ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)

RupiahKilat-Dana Cair (com.rupiahkilat.best)

ยืมอย่างมีความสุข — เงินกู้ (com.gotoloan.cash)

เงินมีความสุข — สินเชื่อด่วน (com.hm.happy.money)

KreditKu-Uang tiešsaistē (com.kreditku.kuindo)

Dana Kilata-Pinjaman kecil (com.winner.rupiahcl)

Skaidras naudas aizdevums-Vay tiền (com.vay.cashloan.cash)

RapidFinance (com.restrict.bright.cowboy)

PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)

Huayna Money — Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)

IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)

ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)

ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

Sociālās inženierijas un uzmācīgas atļaujas

SpyLoan panākumi ir saistīti ar tā paļaušanos uz sociālās inženierijas taktiku. Lietojumprogrammas bieži tiek agresīvi reklamētas sociālo mediju platformās, piemēram, Facebook, lai pievilinātu upurus. Kad tie ir instalēti, tie pieprasa pārmērīgas atļaujas, tostarp piekļuvi kontaktu sarakstiem, zvanu žurnāliem, kameras datiem un pat īsziņām. Šīs atļaujas, kas pamatotas ar identitātes verifikācijas un krāpšanas novēršanas aizsegu, ļauj lietotnēm slepeni iegūt personas informāciju.

Lietotājiem ir arī jānorāda sensitīva informācija, piemēram, bankas konta informācija, darbinieku akreditācijas dati un valsts izdoti identifikācijas dokumenti. Pēc tam šie dati tiek šifrēti, izmantojot AES-128, un tiek nosūtīti uz Command-and-Control (C2) serveri, padarot to izsekošanu sarežģītu.

Atkārtoti draudi: SpyLoan tumšā vēsture

SpyLoan nav jaunpienācējs tiešsaistes krāpšanas pasaulē. Pirmo reizi tas tika atklāts 2020. gadā, bet kopš tā laika tas ir atkārtoti parādījies dažādos veidos. 2023. gada decembra ziņojums atklāja vēl 18 draudošus pieteikumus, kas darbojas, aizbildinoties ar ātro kredītu piedāvāšanu. Šo lietojumprogrammu galvenais mērķis paliek nemainīgs: iegūt maksimālu lietotāju datus un izmantot upurus, izmantojot izspiešanu un uzmākšanos.

Apkopotie dati var tikt izmantoti, lai uzliktu pārmērīgas procentu likmes vai iebiedētu lietotājus, kuri nespēj atmaksāt laikā. Dažos gadījumos zagti personīgie fotoattēli ir izmantoti, lai apdraudētu upurus, uzsverot nopietno privātuma aizskaršanu, ko šīs lietotnes veicina.

Koplietots kods, globālā sasniedzamība

Ir konstatēts, ka SpyLoan lietojumprogrammām ir vienots ietvars gan dizaina, gan funkcionalitātes ziņā. Šī modulārā kodu bāze ļauj kibernoziedzniekiem izvietot šīs lietojumprogrammas dažādos reģionos, pielāgojot tās, lai izmantotu vietējās ievainojamības. Neskatoties uz atšķirībām lietotāju saskarnēs un mērķauditorijas atlases stratēģijās, šīs lietotnes darbojas ar pārsteidzoši līdzīgiem mehānismiem.

Koda kopīgums gan lietotnes, gan C2 servera līmenī liecina par viena izstrādātāja iesaistīšanos vai kopīgas krāpnieciskas sistēmas izmantošanu, kas tiek pārdota kibernoziedzniekiem. Šī mērogojamā pieeja nodrošina, ka draudi paliek pastāvīgi, pat ja iestādes strādā, lai likvidētu konkrētus operatorus.

Ekspluatācijas cikla pārtraukšana

SpyLoan lietojumprogrammas izmanto ne tikai finansiālo izmisumu, bet arī lietotāju uzticēšanos lietotņu veikaliem un digitālajām platformām. Lai aizsargātu pret šādiem draudiem, lietotājiem jāveic aktīvi pasākumi. Lietotņu atļauju pārskatīšana, lietotāju atsauksmju pārbaude un izstrādātāja akreditācijas datu pārbaude ir svarīgas darbības pirms lietojumprogrammas lejupielādes.

Turklāt lietotājiem vajadzētu būt piesardzīgiem attiecībā uz lietojumprogrammām, kas pieprasa nevajadzīgu piekļuvi personas datiem vai pieprasa sensitīvus dokumentus apšaubāmu iemeslu dēļ. Šo piesardzības pasākumu veikšana var palīdzēt mazināt riskus, ko rada maldinošas lietotnes, piemēram, tās, kas saistītas ar SpyLoan.

Pastāvīgs izaicinājums

SpyLoan sāga izceļ globālu problēmu digitālajā ekosistēmā. Lai gan tiesībaizsardzības iestādes ir veiksmīgi likvidējušas dažas operācijas, nepārtraukti parādās jaunas grupas, kas pieņem līdzīgu taktiku. Pastāvīgā izmantošana uzsver nepieciešamību pēc stingrākiem lietotņu veikala noteikumiem un palielināt sabiedrības informētību, lai ierobežotu šīs krāpnieciskās darbības.

SpyLoan nepārtrauktā attīstība parāda, kā ļaunprātīgi dalībnieki pielāgojas, lai saglabātu savas shēmas. Izmantojot modulāros dizainus un mērķējot uz nepietiekami apkalpotiem tirgiem, tie nodrošina vienmērīgu upuru plūsmu, atstājot lietotājus neaizsargātus pret finanšu un privātuma pārkāpumiem. Saglabāt modrību un būt informētam ir visefektīvākā aizsardzība pret šādiem draudiem.