Según nuevos hallazgos de McAfee Labs, más de una docena de aplicaciones maliciosas de Android identificadas en Google Play Store y que en conjunto se han descargado más de 8 millones de veces contienen malware conocido como SpyLoan.
“Estas aplicaciones PUP (programas potencialmente no deseados) utilizan tácticas de ingeniería social para engañar a los usuarios para que proporcionen información confidencial y otorguen permisos adicionales a las aplicaciones móviles, lo que puede conducir a extorsión, acoso y pérdidas financieras”, dijo el investigador de seguridad Fernando Ruiz. dicho en un análisis publicado la semana pasada.
Las aplicaciones recientemente descubiertas pretenden ofrecer préstamos rápidos con requisitos mínimos para atraer a usuarios desprevenidos en México, Colombia, Senegal, Tailandia, Indonesia, Vietnam, Tanzania, Perú y Chile.
Las 15 aplicaciones de préstamos abusivos se enumeran a continuación. Se dice que cinco de estas aplicaciones que todavía están disponibles para descargar desde la tienda de aplicaciones oficial han realizado cambios para cumplir con las políticas de Google Play.
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
- Préstamo Rápido-Crédito Fácil (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang en línea (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Préstamo en efectivo-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personal)
Algunas de estas aplicaciones se han promocionado a través de publicaciones en plataformas de redes sociales como Facebook, lo que indica los diversos métodos que utilizan los actores de amenazas para engañar a las víctimas predictivas para que las instalen.
SpyLoan es un infractor reincidente que se remonta a 2020, con un informe de ESET en diciembre de 2023 que descubrió otro conjunto de 18 aplicaciones que buscaban defraudar a los usuarios ofreciéndoles préstamos con altas tasas de interés, mientras recopilaban sigilosamente su información personal y financiera.
El objetivo final del plan financiero es recopilar la mayor cantidad de información posible de los dispositivos infectados, que luego podría usarse para extorsionar a los usuarios, obligándolos a pagar los préstamos con tasas de interés más altas y, en algunos casos, para retrasar los pagos o intimidarlos. con fotografías personales robadas.
“En última instancia, en lugar de brindar asistencia financiera genuina, estas aplicaciones pueden llevar a los usuarios a un ciclo de deudas y violaciones de la privacidad”, dijo Ruiz.
A pesar de las diferencias en la orientación, se ha descubierto que las aplicaciones comparten un marco común para cifrar y exfiltrar datos del dispositivo de una víctima a un servidor de comando y control (C2). También siguen una experiencia de usuario y un proceso de incorporación similares para solicitar el préstamo.
Además, las aplicaciones solicitan una serie de permisos intrusivos que les permiten recopilar información del sistema, la cámara, registros de llamadas, listas de contactos, ubicación aproximada y mensajes SMS. La recopilación de datos se justifica alegando que es necesaria como parte de la identificación del usuario y de medidas antifraude.
Los usuarios que se registran en el servicio son validados mediante una contraseña de un solo uso (OTP) para garantizar que tengan un número de teléfono de la región de destino. También se les insta a proporcionar documentos de identificación complementarios, cuentas bancarias e información de los empleados, los cuales posteriormente se filtran al servidor C2 en formato cifrado utilizando AES-128.
Para mitigar los riesgos que plantean dichas aplicaciones, es esencial revisar los permisos de las aplicaciones, examinar las revisiones de las aplicaciones y confirmar la legitimidad del desarrollador de la aplicación antes de descargarlas.
“La amenaza de aplicaciones de Android como SpyLoan es un problema global que explota la confianza y la desesperación financiera de los usuarios”, dijo Ruiz. “A pesar de las acciones policiales para capturar múltiples grupos vinculados al funcionamiento de las aplicaciones SpyLoan, nuevos operadores y ciberdelincuentes continúan explotando estas actividades fraudulentas”.
“Las aplicaciones SpyLoan operan con código similar a nivel de aplicación y C2 en diferentes continentes. Esto sugiere la presencia de un desarrollador común o un marco compartido que se vende a los ciberdelincuentes. Este enfoque modular permite a estos desarrolladores distribuir rápidamente aplicaciones maliciosas adaptadas a varios mercados. , explotando vulnerabilidades locales mientras se mantiene un modelo consistente para estafar a los usuarios”.