Шкідливе програмне забезпечення SpyLoan заразило 8 мільйонів користувачів Android
Дослідники з кібербезпеки виявили понад дюжину загрозливих програм у Google Play Store, які загалом можуть похвалитися понад 8 мільйонами завантажень. Ці програми містять відому загрозу під назвою SpyLoan, яка націлена на користувачів за допомогою шахрайства. Після встановлення ці програми використовують своїх жертв, отримуючи несанкціонований доступ до конфіденційних даних і примушуючи користувачів до шкідливих фінансових схем.
Зміст
Приманка: швидкі позики для необережних
Ці програми представляють себе як постачальники швидких позик з мінімальними вимогами, орієнтовані на користувачів у таких регіонах, як Мексика, Колумбія, Сенегал, Таїланд, Індонезія, В’єтнам, Танзанія, Перу та Чилі. Полюючи на фінансовий відчай, вони приваблюють нічого не підозрюючих людей, які шукають миттєвого полегшення.
Серед ідентифікованих програм деякі змінилися відповідно до політики Google Play. Однак основні ризики зберігаються, що підкреслює необхідність бути пильними. Повний список виявлених програм SpyLoan включає:
Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
Préstamo Rápido-Credit Easy (com.voscp.rapido)
ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
RupiahKilat-Dana cair (com.rupiahkilat.best)
ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
KreditKu-Uang Online (com.kreditku.kuindo)
Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
Позика готівкою-Vay tiền (com.vay.cashloan.cash)
RapidFinance (com.restrict.bright.cowboy)
PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Соціальна інженерія та нав’язливі дозволи
Успіх SpyLoan полягає в його опорі на тактику соціальної інженерії. Програми часто агресивно рекламуються в соціальних мережах, таких як Facebook, щоб заманити жертв. Після встановлення вони вимагають надмірних дозволів, включаючи доступ до списків контактів, журналів викликів, даних камери та навіть SMS-повідомлень. Ці дозволи, виправдані під виглядом перевірки особи та запобігання шахрайству, дозволяють додаткам таємно збирати особисту інформацію.
Від користувачів також вимагається надати конфіденційну інформацію, як-от інформацію про банківський рахунок, облікові дані співробітників і державні посвідчення особи. Потім ці дані шифруються за допомогою AES-128 і надсилаються на сервер командування та керування (C2), що ускладнює відстеження.
Постійна загроза: темна історія SpyLoan
SpyLoan не новачок у світі онлайн-шахрайства. Вперше виявлений у 2020 році, з тих пір він знову з’явився в різних формах. У звіті за грудень 2023 року було оприлюднено ще 18 загрозливих додатків, які працюють під тим самим приводом, що пропонують швидкі позики. Кінцева мета цих додатків незмінна: отримати максимальну кількість даних користувача та використовувати жертв шляхом вимагання та переслідування.
Зібрані дані можуть бути використані для встановлення непомірних процентних ставок або залякування користувачів, які не повертають вчасно. У деяких випадках викрадені особисті фотографії використовувалися для погроз жертвам, що підкреслювало серйозне вторгнення в конфіденційність, якому сприяють ці програми.
Спільний код, глобальне охоплення
Було виявлено, що програми SpyLoan мають уніфіковану структуру як за дизайном, так і за функціональністю. Ця модульна кодова база дозволяє кіберзлочинцям розгортати ці програми в різних регіонах, налаштовуючи їх для використання локальних вразливостей. Незважаючи на відмінності в користувацьких інтерфейсах і стратегіях націлювання, ці програми працюють з разюче схожими механізмами.
Спільність коду як на рівні додатка, так і на рівні сервера C2 свідчить про участь одного розробника або використання спільної шахрайської структури, проданої кіберзлочинцям. Цей масштабований підхід гарантує, що загроза залишається постійною, навіть якщо органи влади працюють над демонтажем окремих операторів.
Розрив замкнутого кола експлуатації
Програми SpyLoan використовують не лише фінансовий відчай, але й довіру користувачів до магазинів програм і цифрових платформ. Щоб захиститися від таких загроз, користувачі повинні вживати профілактичних заходів. Перегляд дозволів програми, ретельний аналіз відгуків користувачів і перевірка облікових даних розробника є критично важливими кроками перед завантаженням будь-якої програми.
Крім того, користувачам слід бути обережними щодо програм, які вимагають непотрібного доступу до особистих даних або запитують конфіденційні документи під сумнівними приводами. Прийняття цих запобіжних заходів може допомогти зменшити ризики, пов’язані з оманливими програмами, такими як ті, що пов’язані з SpyLoan.
Постійний виклик
Сага SpyLoan висвітлює глобальну проблему в цифровій екосистемі. У той час як правоохоронні органи успішно ліквідували деякі операції, постійно з’являються нові групи, які використовують подібну тактику. Експлуатація, що триває, підкреслює потребу в суворіших правилах магазину додатків і підвищенні обізнаності громадськості, щоб приборкати ці шахрайські дії.
Постійний розвиток SpyLoan демонструє, як зловмисники пристосовуються до підтримки своїх схем. Використовуючи модульні конструкції та орієнтуючись на ринки з недостатнім обслуговуванням, вони забезпечують постійний потік жертв, роблячи користувачів уразливими до фінансових зловживань і зловживань конфіденційністю. Бути пильним і поінформованим є найефективнішим захистом від таких загроз.
