Phần mềm độc hại SpyLoan lây nhiễm 8 triệu người dùng Android

Các nhà nghiên cứu an ninh mạng đã phát hiện ra hơn một chục ứng dụng đe dọa trên Google Play Store, tổng cộng có hơn 8 triệu lượt tải xuống. Các ứng dụng này ẩn chứa một mối đe dọa được gọi là SpyLoan, nhắm vào người dùng thông qua các hoạt động lừa đảo. Sau khi cài đặt, các ứng dụng này khai thác nạn nhân của chúng bằng cách truy cập trái phép vào dữ liệu nhạy cảm và ép buộc người dùng tham gia vào các chương trình tài chính có hại.

Mồi nhử: Vay tiền nhanh cho người thiếu cảnh giác

Các ứng dụng này tự giới thiệu mình là nhà cung cấp các khoản vay nhanh với yêu cầu tối thiểu, nhắm mục tiêu đến người dùng ở các khu vực như Mexico, Colombia, Senegal, Thái Lan, Indonesia, Việt Nam, Tanzania, Peru và Chile. Bằng cách lợi dụng sự tuyệt vọng về tài chính, chúng thu hút những cá nhân không nghi ngờ đang tìm kiếm sự cứu trợ tức thời.

Trong số các ứng dụng được xác định, một số đã thay đổi để phù hợp với chính sách của Google Play. Tuy nhiên, những rủi ro tiềm ẩn của chúng vẫn tồn tại, làm nổi bật nhu cầu cảnh giác. Danh sách đầy đủ các ứng dụng SpyLoan được phát hiện bao gồm:

Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )

Préstamo Rápido-Credit Easy (com.voscp.rapido)

ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)

RupiahKilat-Dana cair (com.rupiahkilat.best)

Người mua – เงินกู้ (com.gotoloan.cash)

người mua – สินเชื่อด่วน (com.hm.happy.money)

Tín dụng trực tuyếnKu-Uang (com.kreditku.kuindo)

Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)

Vay tiền mặt-Vay tiền (com.vay.cashloan.cash)

RapidFinance (com.restrict.bright.cowboy)

PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)

Tiền Huayna – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)

IPréstamos: Tín dụng Rápido (com.credito.iprestamos.dinero.en.linea.chile)

ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)

ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

Kỹ thuật xã hội và quyền xâm nhập

Thành công của SpyLoan nằm ở sự phụ thuộc vào các chiến thuật kỹ thuật xã hội. Các ứng dụng thường quảng cáo rầm rộ trên các nền tảng truyền thông xã hội như Facebook để dụ dỗ nạn nhân. Sau khi cài đặt, chúng yêu cầu các quyền quá mức, bao gồm quyền truy cập vào danh sách liên lạc, nhật ký cuộc gọi, dữ liệu camera và thậm chí cả tin nhắn SMS. Những quyền này, được biện minh dưới danh nghĩa xác minh danh tính và ngăn chặn gian lận, cho phép các ứng dụng thu thập thông tin cá nhân một cách bí mật.

Người dùng cũng được yêu cầu cung cấp các thông tin chi tiết nhạy cảm như thông tin tài khoản ngân hàng, thông tin xác thực của nhân viên và ID do chính phủ cấp. Dữ liệu này sau đó được mã hóa bằng AES-128 và được gửi đến máy chủ Command-and-Control (C2), khiến việc dấu vết.

Mối đe dọa thường xuyên: Lịch sử đen tối của SpyLoan

SpyLoan không phải là người mới trong thế giới gian lận trực tuyến. Lần đầu tiên được phát hiện vào năm 2020, kể từ đó nó đã tái xuất hiện dưới nhiều hình thức khác nhau. Một báo cáo từ tháng 12 năm 2023 đã tiết lộ thêm 18 ứng dụng đe dọa khác hoạt động dưới cùng một chiêu bài là cung cấp các khoản vay nhanh. Mục tiêu cuối cùng của những ứng dụng này vẫn như vậy: trích xuất tối đa dữ liệu người dùng và khai thác nạn nhân thông qua tống tiền và quấy rối.

Dữ liệu thu thập được có thể được sử dụng để áp dụng lãi suất cắt cổ hoặc đe dọa người dùng không trả nợ đúng hạn. Trong một số trường hợp, ảnh cá nhân bị đánh cắp đã được sử dụng để đe dọa nạn nhân, làm nổi bật sự xâm phạm nghiêm trọng quyền riêng tư mà các ứng dụng này tạo điều kiện.

Mã chia sẻ, phạm vi toàn cầu

Các ứng dụng SpyLoan được phát hiện chia sẻ một khuôn khổ thống nhất, cả về thiết kế và chức năng. Cơ sở mã mô-đun này cho phép tội phạm mạng triển khai các ứng dụng này trên nhiều khu vực khác nhau, tùy chỉnh chúng để khai thác các lỗ hổng cục bộ. Mặc dù có sự khác biệt về giao diện người dùng và chiến lược nhắm mục tiêu, các ứng dụng này vẫn hoạt động với cơ chế tương tự nhau một cách đáng kinh ngạc.

Điểm chung trong mã ở cả cấp độ ứng dụng và máy chủ C2 cho thấy sự tham gia của một nhà phát triển duy nhất hoặc việc sử dụng một khuôn khổ gian lận chung được bán cho tội phạm mạng. Cách tiếp cận có thể mở rộng này đảm bảo mối đe dọa vẫn dai dẳng, ngay cả khi các cơ quan chức năng nỗ lực tháo dỡ các nhà điều hành cụ thể.

Phá vỡ chu kỳ bóc lột

Các ứng dụng SpyLoan không chỉ khai thác sự tuyệt vọng về tài chính mà còn cả lòng tin của người dùng vào các cửa hàng ứng dụng và nền tảng kỹ thuật số. Để bảo vệ chống lại các mối đe dọa như vậy, người dùng phải thực hiện các biện pháp chủ động. Xem xét quyền ứng dụng, kiểm tra kỹ lưỡng các đánh giá của người dùng và xác minh thông tin xác thực của nhà phát triển là các bước quan trọng trước khi tải xuống bất kỳ ứng dụng nào.

Ngoài ra, người dùng nên thận trọng với các ứng dụng yêu cầu quyền truy cập không cần thiết vào dữ liệu cá nhân hoặc yêu cầu các tài liệu nhạy cảm dưới các lý do đáng ngờ. Áp dụng các biện pháp phòng ngừa này có thể giúp giảm thiểu rủi ro do các ứng dụng lừa đảo như ứng dụng liên quan đến SpyLoan gây ra.

Một thách thức dai dẳng

Câu chuyện SpyLoan nêu bật một vấn đề toàn cầu trong hệ sinh thái kỹ thuật số. Trong khi các cơ quan thực thi pháp luật đã phá vỡ thành công một số hoạt động, các nhóm mới liên tục xuất hiện, áp dụng các chiến thuật tương tự. Việc khai thác liên tục nhấn mạnh nhu cầu về các quy định chặt chẽ hơn về cửa hàng ứng dụng và nâng cao nhận thức của công chúng để hạn chế các hoạt động gian lận này.

Sự phát triển liên tục của SpyLoan cho thấy cách những kẻ xấu thích nghi để duy trì các âm mưu của chúng. Bằng cách tận dụng các thiết kế mô-đun và nhắm mục tiêu vào các thị trường chưa được phục vụ, chúng đảm bảo một luồng nạn nhân ổn định, khiến người dùng dễ bị xâm phạm tài chính và quyền riêng tư. Duy trì sự cảnh giác và cập nhật thông tin là biện pháp phòng thủ hiệu quả nhất chống lại các mối đe dọa như vậy.