Siber güvenlik araştırmacıları, Google Play Store’da Android için toplu olarak 12 milyondan fazla indirilen 18 kötü amaçlı kredi uygulaması keşfetti.
“Bu hizmetler, çekici görünümlerine rağmen aslında aldatıcı açıklamalarla desteklenen yüksek faizli krediler sunarak kullanıcıları dolandırmak, kurbanlarının kişisel ve mali bilgilerini toplayarak onlara şantaj yapmak ve sonunda paralarını kazanmak için tasarlandı. ,” ESET söz konusu.
Slovak siber güvenlik şirketi bu uygulamaları şu adla izliyor: Casus Kredibunların Güneydoğu Asya, Afrika ve Latin Amerika’da bulunan potansiyel borçluları hedef almak üzere tasarlandıklarını belirtiyor.
Google tarafından kaldırılan uygulamaların listesi aşağıda:
- AA Kredisi: Kredi Kartı (com.aa.kredit.android)
- Amor Cash: Préstamos Sin Buró (com.amorcash.credito.prestamo)
- Oro Préstamo – Hızlı Efekt (com.app.lo.go)
- Cashwow (com.cashwow.cow.eg)
- CrediBus Kredi Préstamos (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
- ยืมด้วยความมั่นใจ – ยืมด่วน (com.flashloan.wsft)
- PréstamosCrédito – GuayabaCash (com.guayaba.cash.okredito.mx.tala)
- Crédito-YumiCash Préstamos (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
- Krediye Git – güven (com.mlo.xango)
- Instantáneo Préstamo (com.mmp.optima)
- Cartera grande (com.mxolp.postloan)
- Rápido Crédito (com.okey.prestamo)
- Finupp Borç Verme (com.shuiyiwenhua.gl)
- 4S Nakit (com.swefjjghs.weejteop)
- TrueNaira – Çevrimiçi Kredi (com.truenaira.cashloan.moneycredit)
- EasyCash (king.credit.ng)
- Kredi Kartı – สะดวก (com.sc.safe.credit)
SMS mesajları ve Twitter, Facebook ve YouTube gibi sosyal medya kanalları, önde gelen enfeksiyon yolları olarak hareket ediyor, ancak uygulamalar aynı zamanda dolandırıcılık web sitelerinden ve üçüncü taraf uygulama mağazalarından da indirilebiliyor.
ESET güvenlik araştırmacısı Lukáš Štefanko, “Bu hizmetlerin hiçbiri bir web sitesi kullanarak kredi talep etme seçeneği sunmuyor, çünkü şantajcılar bir tarayıcı aracılığıyla akıllı telefonda depolanan ve şantaj için gerekli olan tüm hassas kullanıcı verilerine erişemiyor.” dedi.
Uygulamalar, geçmişi 2020’ye kadar uzanan daha geniş bir planın parçasıdır ve Android ve iOS için 300’den fazla uygulamadan oluşan bir dilime eklenir. KasperskyLookout ve Zimperium geçen yıl ortaya çıkardı ve “borçluları yağmacı kredi sözleşmelerine tuzağa düşürmek ve onlardan kişiler ve SMS mesajları gibi hassas bilgilere erişim izni vermelerini talep etmek için kurbanların hızlı para kazanma arzusundan yararlandı.”
SpyLoan operatörlerinin, güvenliği ihlal edilmiş cihazlardan bilgi toplamanın yanı sıra, fotoğraf ve videolarını sosyal medya platformlarında yayınlamakla tehdit ederek mağdurları ödeme yapmaya zorlamak için şantaj ve taciz taktiklerine başvurdukları da gözlemlendi.
Birinde İleti The Hacker News tarafından tespit edilen ve bu Şubat ayı başında Google Play Yardım Topluluğu’nda yayınlanan Nijeryalı bir kullanıcı, EasyCash’i “kurbanlarına sahtekarlıkla yüksek ve fahiş faiz oranlarıyla kredi vermek ve şantaj, iftira, iftira, tehdit kullanarak onlara zorla ödeme yaptırmakla” suçladı. ve borçlunun adresini ve banka kimlik numarası (BVN) dahil olmak üzere tam hükümet adını bildikleri halde karakter suikastı, ancak yine de insanları utandırmaya devam ederek onları gereksiz baskı ve paniğe maruz bırakıyorlar.”
Ayrıca uygulamalar, kullanıcıların medya dosyaları, kameraları, takvimi, kişileri, arama kayıtları ve SMS mesajları için neden izinlere ihtiyaç duyduklarını açıklamak için yanıltıcı gizlilik politikaları kullanıyor. Bazı uygulamalar, operasyonlarına bir meşruiyet perdesi kazandırmak amacıyla, çalıntı ofis ortamı fotoğrafları ve stok görselleriyle dolu sahte web sitelerine bağlantılar da içeriyordu.
Bu gibi durumların doğurduğu riskleri azaltmak için casus yazılım tehditleriUygulamaları indirmek için resmi kaynaklara bağlı kalmanız, bu tür tekliflerin orijinalliğini doğrulamanız ve kurulumdan önce incelemelere ve izinlere çok dikkat etmeniz önerilir.
Štefanko, SpyLoan’un “borçluların çevrimiçi finansal hizmet ararken karşılaştıkları risklerin önemli bir hatırlatıcısı” olduğunu söyledi. “Bu kötü niyetli uygulamalar, çok çeşitli kişisel bilgileri aldatmak ve çalmak için karmaşık teknikler kullanarak, kullanıcıların meşru kredi sağlayıcılara duyduğu güveni istismar ediyor.”
Bu gelişme aynı zamanda, ücretsiz hareket eden bir akış uygulaması görünümüne bürünen ve ekran içeriğini çalmak, çalışma zamanı modüllerini indirmek ve hedeflenen uygulamalardan kimlik bilgilerini çıkarmak için katman enjeksiyonu gibi yükseltilmiş yeteneklerle donatılmış olarak gelen TrickMo adlı bir Android bankacılık truva atının yeniden dirilişini de takip ediyor. Kötü amaçlı kodunu gizlemek için JsonPacker’ı kullanmak.
Cyble, “Kötü amaçlı yazılımın yer paylaşımlı saldırılara geçişi, kod gizleme için JsonPacker’ı kullanması ve komuta ve kontrol sunucusuyla tutarlı davranışı, tehdit aktörünün stratejilerini iyileştirme konusundaki kararlılığını vurguluyor.” söz konusu Geçen hafta bir analizde.