McAfee Labs’ın yeni bulgularına göre, Google Play Store’da tespit edilen ve toplu olarak 8 milyondan fazla kez indirilen bir düzineden fazla kötü amaçlı Android uygulaması, SpyLoan olarak bilinen kötü amaçlı yazılım içeriyor.
Güvenlik araştırmacısı Fernando Ruiz, “Bu PUP (potansiyel olarak istenmeyen programlar) uygulamaları, kullanıcıları hassas bilgiler sağlamaları ve ekstra mobil uygulama izinleri vermeleri için kandırmak amacıyla sosyal mühendislik taktiklerini kullanıyor; bu da gasp, taciz ve mali kayba yol açabilir.” söz konusu Geçen hafta yayınlanan bir analizde.
Yeni keşfedilen uygulamalar, Meksika, Kolombiya, Senegal, Tayland, Endonezya, Vietnam, Tanzanya, Peru ve Şili’deki şüphelenmeyen kullanıcıları çekmek için minimum gereksinimlerle hızlı krediler sunduğunu iddia ediyor.
15 yıkıcı kredi uygulaması aşağıda listelenmiştir. Halen resmi uygulama mağazasından indirilebilen bu uygulamalardan beşinin, Google Play politikalarına uyum sağlamak amacıyla değişiklikler yaptığı söyleniyor.
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
- Préstamo Rápido-Kredi Kolaylığı (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- Para Birimi – Para Transferi (com.hm.happy.money)
- KreditKu-Uang Çevrimiçi (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Nakit Kredi-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Bu uygulamalardan bazıları, Facebook gibi sosyal medya platformlarındaki gönderiler yoluyla tanıtıldı; bu, tehdit aktörlerinin, tahmini kurbanları bu uygulamaları yüklemeleri için kandırmak için kullandıkları çeşitli yöntemleri gösteriyor.
SpyLoan, geçmişi 2020’ye kadar uzanan sürekli bir suçludur; ESET’in Aralık 2023’teki bir raporu, kullanıcıları yüksek faizli krediler sunarak dolandırmaya çalışan ve aynı zamanda kişisel ve finansal bilgilerini de gizlice toplayan 18 uygulamadan oluşan başka bir grubu ortaya çıkarmıştır.
Mali planın nihai hedefi, virüs bulaşmış cihazlardan mümkün olduğunca fazla bilgi toplamaktır; bu bilgiler daha sonra kullanıcıları kredilerini daha yüksek faiz oranlarıyla geri ödemeye zorlayarak ve bazı durumlarda ödemeleri geciktirmek veya korkutmak için kullanılabilecektir. çalıntı kişisel fotoğraflarla.
Ruiz, “Sonuçta, bu uygulamalar gerçek mali yardım sağlamak yerine kullanıcıları bir borç ve gizlilik ihlali döngüsüne sürükleyebilir” dedi.
Hedeflemedeki farklılıklara rağmen uygulamaların, verileri şifrelemek ve kurbanın cihazından komuta ve kontrol (C2) sunucusuna sızdırmak için ortak bir çerçeveyi paylaştığı görüldü. Krediye başvurmak için de benzer bir kullanıcı deneyimi ve katılım sürecini izliyorlar.
Ayrıca uygulamalar, sistem bilgilerini, kamerayı, çağrı kayıtlarını, kişi listelerini, kaba konumu ve SMS mesajlarını toplamalarına olanak tanıyan bir dizi izinsiz izin talep ediyor. Veri toplama işlemi, kullanıcı kimliğinin belirlenmesi ve sahtekarlığa karşı önlemlerin bir parçası olarak gerekli olduğu iddia edilerek gerekçelendirilmiştir.
Hizmete kaydolan kullanıcıların hedef bölgeden bir telefon numarasına sahip olduklarından emin olmak için tek kullanımlık şifre (OTP) ile doğrulama yapılıyor. Ayrıca ek kimlik belgeleri, banka hesapları ve çalışan bilgileri sağlamaları da isteniyor; bunların tümü daha sonra C2 sunucusuna şifreli formatta aktarılıyor. AES-128.
Bu tür uygulamaların oluşturduğu riskleri azaltmak için, uygulamaları indirmeden önce uygulama izinlerini gözden geçirmek, uygulama incelemelerini incelemek ve uygulama geliştiricisinin meşruiyetini doğrulamak önemlidir.
Ruiz, “SpyLoan gibi Android uygulamalarının oluşturduğu tehdit, kullanıcıların güvenini ve finansal çaresizliğini istismar eden küresel bir sorundur” dedi. “SpyLoan uygulamalarının işletilmesiyle bağlantılı birden fazla grubu yakalamaya yönelik kolluk kuvvetlerinin eylemlerine rağmen, yeni operatörler ve siber suçlular bu dolandırıcılık faaliyetlerinden yararlanmaya devam ediyor.”
“SpyLoan uygulamaları, farklı kıtalarda uygulama ve C2 düzeyinde benzer kodlarla çalışıyor. Bu, siber suçlulara satılan ortak bir geliştiricinin veya paylaşılan bir çerçevenin varlığını gösteriyor. Bu modüler yaklaşım, bu geliştiricilerin çeşitli pazarlara göre uyarlanmış kötü amaçlı uygulamaları hızlı bir şekilde dağıtmasına olanak tanıyor. , kullanıcıları dolandırmak için tutarlı bir model sürdürürken yerel güvenlik açıklarından yararlanıyor.”