SpyLoan Mobile Malware

Лише протягом цього року було здійснено понад 12 мільйонів завантажень для набору шахрайських заявок на позику, які спільно називаються SpyLoan, переважно в Google Play. Важливо зазначити, що ця цифра може бути значно вищою, враховуючи доступність цих небезпечних програм на сторонніх платформах і сумнівних веб-сайтах.

Загрози SpyLoan Android діють шляхом таємного вилучення конфіденційних особистих даних із пристрою користувача. Сюди входить повний спектр інформації, як-от список усіх облікових записів, деталі пристрою, журнали викликів, встановлені програми, події календаря, особливості локальної мережі Wi-Fi та метадані зображень. За словами експертів з кібербезпеки, потенційний ризик поширюється ще на компрометацію списку контактів користувача, даних про місцезнаходження та текстових повідомлень.

Видаючи себе за законні фінансові послуги, які пропонують швидкий і легкий доступ до коштів через особисті позики, ці програми обманюють користувачів, змушуючи їх приймати непомірні відсотки. Згодом суб’єкти загрози застосовують тактику примусу, шантажуючи жертв, змушуючи їх здійснити платежі, щоб пом’якшити наслідки своїх дій.

Програми SpyLoan були націлені на користувачів протягом багатьох років

Програми SpyLoan, які спочатку з’явилися в 2020 році, набули поширення, особливо в 2023 році, вплинувши на платформи Android і iOS. Ці програми використовують різноманітні канали розповсюдження, використовуючи шахрайські веб-сайти, сторонні магазини додатків і Google Play. Зокрема, щоб отримати доступ до Google Play, ці додатки надсилаються з начебто сумісною політикою конфіденційності, дотримуються обов’язкових стандартів «знай свого клієнта» (KYC) і надають прозорі запити на дозволи.

Щоб покращити свій оманливий фасад, багато з цих шкідливих програм встановлюють посилання на веб-сайти, які точно імітують сайти законних компаній. Ці імітаційні сайти аж до показу фотографій співробітників і офісів, стратегічно розроблених, щоб прищепити помилкове відчуття автентичності. Загроза мала глобальний вплив, жертви були виявлені в різних країнах, зокрема в Мексиці, Індії, Таїланді, Індонезії, Нігерії, Філіппінах, Єгипті, В’єтнамі, Сінгапурі, Кенії, Колумбії та Перу.

Програми SpyLoan наражають користувачів на широкий спектр ризиків

Програми SpyLoan порушують політику фінансових послуг Google, маніпулюючи в односторонньому порядку тривалістю особистих позик, скорочуючи її до кількох днів або довільного періоду. Потім користувачів погрожують глузуванням і викриттям, якщо вони не дотримуватимуться цієї тактики примусу. Крім того, політика конфіденційності, представлена цими програмами, є оманливою, надаючи нібито законні причини для отримання ризикованих дозволів.

Наприклад, у додатку стверджується, що доступ до камери необхідний для завантаження фотоданих для цілей «Знай свого клієнта» (KYC), а доступ до календаря користувача необхідний для планування дат платежів і нагадувань. Однак ці обґрунтування приховують вкрай інтрузивні практики. Крім того, програми SpyLoan вимагають непотрібних дозволів, як-от доступ до журналів викликів і списків контактів, які використовуються для вимагання від користувачів, які протистоять необґрунтованим вимогам оплати.

Хоча ці програми SpyLoan технічно дотримуються вимог щодо наявності політики конфіденційності, їхні практики перевищують необхідний обсяг збору даних для надання фінансових послуг і дотримання банківських стандартів KYC. Дослідники стверджують, що справжня мета цих дозволів — шпигувати за користувачами, піддавати їх переслідуванням і шантажувати як користувачів, так і їхніх контактів.

Щоб захиститися від загрози SpyLoan, рекомендується довіряти тільки перевіреним фінансовим установам, ретельно перевіряти запитувані дозволи під час встановлення нової програми та читати відгуки користувачів у Google Play. Ці огляди часто містять цінну інформацію, яка може виявити шахрайську природу відповідної програми.