มัลแวร์ SpyLoan แพร่ระบาดไปยังผู้ใช้ Android กว่า 8 ล้านราย

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแอปพลิเคชันที่เป็นอันตรายมากกว่าสิบรายการบน Google Play Store ซึ่งมียอดดาวน์โหลดรวมกันกว่า 8 ล้านครั้ง แอปพลิเคชันเหล่านี้แฝงไปด้วยภัยคุกคามที่เรียกว่า SpyLoan ซึ่งกำหนดเป้าหมายผู้ใช้โดยใช้วิธีการหลอกลวง เมื่อติดตั้งแล้ว แอปพลิเคชันเหล่านี้จะแสวงหาประโยชน์จากเหยื่อโดยเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตและบังคับผู้ใช้ให้เข้าร่วมแผนการทางการเงินที่เป็นอันตราย

The Bait: สินเชื่อด่วนสำหรับผู้ไม่ระวัง

แอปพลิเคชันเหล่านี้นำเสนอตัวเองในฐานะผู้ให้บริการสินเชื่อด่วนที่มีข้อกำหนดขั้นต่ำ โดยมุ่งเป้าไปที่ผู้ใช้ในภูมิภาคต่างๆ เช่น เม็กซิโก โคลอมเบีย เซเนกัล ไทย อินโดนีเซีย เวียดนาม แทนซาเนีย เปรู และชิลี โดยการใช้ประโยชน์จากความสิ้นหวังทางการเงิน แอปพลิเคชันเหล่านี้จึงดึงดูดผู้คนที่ไม่คาดคิดซึ่งกำลังมองหาความช่วยเหลืออย่างเร่งด่วน

ในบรรดาแอปพลิเคชันที่ระบุ มีบางแอปพลิเคชันที่เปลี่ยนแปลงเพื่อให้สอดคล้องกับนโยบายของ Google Play อย่างไรก็ตาม ความเสี่ยงที่แฝงอยู่ยังคงมีอยู่ ซึ่งแสดงให้เห็นถึงความจำเป็นในการเฝ้าระวัง รายชื่อแอปพลิเคชัน SpyLoan ทั้งหมดที่ค้นพบมีดังต่อไปนี้:

เพรสตาโม เซกูโร-ราปิโด, เซกูโร (com.prestamoseguro.ss )

Préstamo Rápido-เครดิตง่าย ๆ (com.voscp.rapido)

ได้เงินบาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)

RupiahKilat-Dana cair (com.rupiahkilat.best)

ถ่านอย่างมีความสุข – เงิน (com.gotoloan.cash)

มีความสุข – สินเชื่อด่วน (com.hm.happy.money)

เครดิตKu-Uang ออนไลน์ (com.kreditku.kuindo)

ดาน่า กิลาต-ปิ่นจามาน เคซิล (com.winner.rupiahcl)

สินเชื่อเงินสด-Vay tiền (com.vay.cashloan.cash)

RapidFinance (com.restrict.bright.cowboy)

PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)

Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)

ที่อยู่: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)

ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)

ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

วิศวกรรมสังคมและการอนุญาตการบุกรุก

ความสำเร็จของ SpyLoan นั้นมาจากการพึ่งพาเทคนิคทางวิศวกรรมสังคม แอปพลิเคชันเหล่านี้มักโฆษณาอย่างก้าวร้าวบนแพลตฟอร์มโซเชียลมีเดียอย่าง Facebook เพื่อล่อเหยื่อ เมื่อติดตั้งแล้ว แอปพลิเคชันจะขอสิทธิ์ที่มากเกินไป รวมถึงการเข้าถึงรายชื่อผู้ติดต่อ บันทึกการโทร ข้อมูลกล้อง และแม้แต่ข้อความ SMS การอนุญาตเหล่านี้ซึ่งอ้างเหตุผลภายใต้การยืนยันตัวตนและป้องกันการฉ้อโกง ทำให้แอปสามารถรวบรวมข้อมูลส่วนบุคคลได้อย่างเป็นความลับ

ผู้ใช้ยังต้องระบุรายละเอียดที่ละเอียดอ่อน เช่น ข้อมูลบัญชีธนาคาร ข้อมูลประจำตัวพนักงาน และบัตรประจำตัวที่ออกโดยรัฐบาล จากนั้นข้อมูลนี้จะถูกเข้ารหัสโดยใช้ AES-128 และส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ซึ่งทำให้ยากต่อการเข้าถึง ติดตาม.

ภัยคุกคามที่เกิดขึ้นซ้ำแล้วซ้ำเล่า: ประวัติศาสตร์อันมืดมนของ SpyLoan

SpyLoan ไม่ใช่ผู้มาใหม่ในโลกของการฉ้อโกงออนไลน์ โดยตรวจพบครั้งแรกในปี 2020 และได้กลับมาเกิดขึ้นอีกครั้งในรูปแบบต่างๆ รายงานเมื่อเดือนธันวาคม 2023 เปิดเผย แอปพลิเคชันคุกคามอีก 18 รายการ ที่ทำงานภายใต้ข้ออ้างเดียวกันในการเสนอสินเชื่อด่วน เป้าหมายสูงสุดของ SpyLoan คือ แอปพลิเคชันเหล่านี้ยังคงเหมือนเดิม: เพื่อดึงข้อมูลผู้ใช้ให้ได้มากที่สุดและแสวงหาประโยชน์จากเหยื่อผ่านการกรรโชกและคุกคาม

ข้อมูลที่รวบรวมมาอาจนำไปใช้เพื่อกำหนดอัตราดอกเบี้ยที่สูงเกินควรหรือข่มขู่ผู้ใช้ที่ไม่ชำระเงินตรงเวลา ในบางกรณี รูปถ่ายส่วนตัวที่ถูกขโมยมาอาจใช้เพื่อข่มขู่เหยื่อ ซึ่งแสดงให้เห็นถึงการละเมิดความเป็นส่วนตัวอย่างรุนแรงที่แอปเหล่านี้เอื้อให้เกิดขึ้น

รหัสที่ใช้ร่วมกัน การเข้าถึงทั่วโลก

พบว่าแอปพลิเคชัน SpyLoan มีกรอบงานแบบรวมศูนย์ทั้งในด้านการออกแบบและการทำงาน ฐานโค้ดแบบโมดูลาร์นี้ช่วยให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถติดตั้งแอปพลิเคชันเหล่านี้ได้ในหลายภูมิภาค โดยปรับแต่งให้สามารถใช้ประโยชน์จากช่องโหว่ในพื้นที่ได้ แม้จะมีความแตกต่างกันในอินเทอร์เฟซผู้ใช้และกลยุทธ์การกำหนดเป้าหมาย แต่แอปพลิเคชันเหล่านี้ก็ทำงานได้ ซึ่งมีกลไกที่คล้ายคลึงกันอย่างน่าทึ่ง

ความเหมือนกันในโค้ดทั้งในระดับแอปและเซิร์ฟเวอร์ C2 บ่งชี้ถึงการมีส่วนร่วมของนักพัฒนาเพียงคนเดียวหรือการใช้กรอบงานหลอกลวงร่วมกันที่ขายให้กับอาชญากรไซเบอร์ แนวทางที่ปรับขนาดได้นี้ทำให้มั่นใจได้ว่าภัยคุกคามจะคงอยู่ต่อไป แม้ว่าทางการจะพยายามยุบผู้ให้บริการบางรายก็ตาม

การทำลายวงจรการแสวงประโยชน์

แอปพลิเคชัน SpyLoan ไม่เพียงแต่ใช้ประโยชน์จากความสิ้นหวังทางการเงินเท่านั้น แต่ยังรวมถึงความไว้วางใจของผู้ใช้ที่มีต่อร้านค้าแอปและแพลตฟอร์มดิจิทัลด้วย เพื่อป้องกันภัยคุกคามดังกล่าว ผู้ใช้จะต้องดำเนินการเชิงรุก การตรวจสอบสิทธิ์ของแอป การตรวจสอบรีวิวของผู้ใช้ และการยืนยันข้อมูลประจำตัวของนักพัฒนาถือเป็นขั้นตอนสำคัญก่อนดาวน์โหลดแอปพลิเคชันใดๆ

นอกจากนี้ ผู้ใช้ควรระมัดระวังแอปพลิเคชันที่ขอเข้าถึงข้อมูลส่วนตัวโดยไม่จำเป็นหรือขอเอกสารสำคัญภายใต้ข้ออ้างที่น่าสงสัย การใช้มาตรการป้องกันเหล่านี้สามารถช่วยลดความเสี่ยงที่เกิดจากแอปพลิเคชันหลอกลวง เช่น แอปพลิเคชันที่เกี่ยวข้องกับ SpyLoan

ความท้าทายที่ไม่หยุดยั้ง

เรื่องราวของ SpyLoan เน้นย้ำถึงปัญหาระดับโลกในระบบนิเวศดิจิทัล แม้ว่าหน่วยงานบังคับใช้กฎหมายจะสามารถยุติการดำเนินการบางส่วนได้สำเร็จ แต่กลุ่มใหม่ๆ ก็ยังคงเกิดขึ้นอย่างต่อเนื่อง โดยใช้กลวิธีที่คล้ายกัน การใช้ประโยชน์ที่เกิดขึ้นอย่างต่อเนื่องนี้เน้นย้ำถึงความจำเป็นในการมีกฎระเบียบที่เข้มงวดยิ่งขึ้นสำหรับร้านแอปและสร้างความตระหนักรู้ให้กับประชาชนมากขึ้นเพื่อหยุดยั้งกิจกรรมฉ้อโกงเหล่านี้

การพัฒนาอย่างต่อเนื่องของ SpyLoan แสดงให้เห็นว่าผู้ไม่ประสงค์ดีปรับตัวอย่างไรเพื่อรักษาแผนการของตนไว้ โดยใช้ประโยชน์จากการออกแบบแบบแยกส่วนและกำหนดเป้าหมายไปที่ตลาดที่ไม่ได้รับบริการเพียงพอ ทำให้มั่นใจได้ว่าจะมีเหยื่อจำนวนมากอย่างต่อเนื่อง ทำให้ผู้ใช้เสี่ยงต่อการละเมิดทางการเงินและความเป็นส่วนตัว การตื่นตัวและรับทราบข้อมูลอย่างต่อเนื่องถือเป็นแนวทางป้องกันที่ได้ผลที่สุดในการต่อต้านภัยคุกคามดังกล่าว