Les chercheurs en cybersécurité ont découvert 18 applications de prêt malveillantes pour Android sur le Google Play Store qui ont été téléchargées collectivement plus de 12 millions de fois.
« Malgré leur apparence attrayante, ces services sont en fait conçus pour escroquer les utilisateurs en leur proposant des prêts à taux d’intérêt élevés assortis de descriptions trompeuses, tout en collectant les informations personnelles et financières de leurs victimes pour les faire chanter et finalement récupérer leurs fonds. , »ESET dit.
La société slovaque de cybersécurité suit ces applications sous le nom Prêt espionnotant qu’ils sont conçus pour cibler les emprunteurs potentiels situés en Asie du Sud-Est, en Afrique et en Amérique latine.
La liste des applications désormais supprimées par Google est ci-dessous :
- AA Kredit : इंस्टेंट लोन ऐप (com.aa.kredit.android)
- Amor Cash : Préstamos Sin Buró (com.amorcash.credito.prestamo)
- Oro Préstamo – Efficace rapide (com.app.lo.go)
- Cashwow (com.cashwow.cow.eg)
- CrediBus Préstamos de crédit (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
- Fonds d’investissement – Fonds d’investissement (com.flashloan.wsft)
- PréstamosCrédito – GuayabaCash (com.guayaba.cash.okredito.mx.tala)
- Préstamos De Crédito-YumiCash (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
- Go Crédito – de confiance (com.mlo.xango)
- Préstamo instantané (com.mmp.optima)
- Cartera grande (com.mxolp.postloan)
- Rápido Crédito (com.okey.prestamo)
- Prêts Finupp (com.shuiyiwenhua.gl)
- 4S Cash (com.swefjjghs.weejteop)
- TrueNaira – Prêt en ligne (com.truenaira.cashloan.moneycredit)
- EasyCash (king.credit.ng)
- Compte – สะดวก (com.sc.safe.credit)
Les messages SMS et les réseaux sociaux tels que Twitter, Facebook et YouTube constituent les principales voies d’infection, bien que les applications soient également disponibles en téléchargement à partir de sites Web frauduleux et de magasins d’applications tiers.
« Aucun de ces services n’offre la possibilité de demander un prêt via un site Web, car via un navigateur, les extorsionnistes ne peuvent pas accéder à toutes les données sensibles des utilisateurs stockées sur un smartphone et nécessaires au chantage », a déclaré Lukáš Štefanko, chercheur en sécurité chez ESET.
Les applications font partie d’un programme plus large qui remonte à 2020 et s’ajoute à une tranche de plus de 300 applications pour Android et iOS qui KasperskyLookout et Zimperium découverts l’année dernière et qui exploitaient « le désir des victimes d’obtenir rapidement de l’argent pour piéger les emprunteurs dans des contrats de prêt prédateurs et leur demander d’accorder l’accès à des informations sensibles telles que des contacts et des messages SMS ».
En plus de récolter des informations sur des appareils compromis, les opérateurs de SpyLoan ont également été observés recourant à des tactiques de chantage et de harcèlement pour faire pression sur les victimes afin qu’elles effectuent des paiements en menaçant de publier leurs photos et vidéos sur les plateformes de médias sociaux.
Dans une message identifié par The Hacker News et publié sur la communauté d’aide de Google Play plus tôt en février, un utilisateur du Nigeria a dénoncé EasyCash pour avoir « accordé frauduleusement des prêts à ses victimes avec des taux d’intérêt élevés et exorbitants et les a forcés à payer en les menaçant de chantage, de diffamation, et la diffamation alors qu’ils ont évidemment l’adresse du débiteur et le nom complet du gouvernement, y compris son numéro d’identification bancaire (BVN), mais ils continuent quand même à embarrasser les gens en les soumettant à une pression et à une panique inutiles.
De plus, les applications utilisent des politiques de confidentialité trompeuses pour expliquer pourquoi elles ont besoin d’autorisations sur les fichiers multimédias, l’appareil photo, le calendrier, les contacts, les journaux d’appels et les messages SMS des utilisateurs. Certaines applications incluaient également un lien vers de faux sites Web, remplis de photos d’environnement de bureau et d’images de stock volées, dans le but de donner à leurs opérations un voile de légitimité.
Pour atténuer les risques posés par de tels menaces de logiciels espionsil est conseillé de s’en tenir aux sources officielles pour télécharger des applications, de valider l’authenticité de ces offres et de prêter une attention particulière aux avis et aux autorisations avant l’installation.
SpyLoan sert de « rappel important des risques auxquels les emprunteurs sont confrontés lorsqu’ils recherchent des services financiers en ligne », a déclaré Štefanko. « Ces applications malveillantes exploitent la confiance que les utilisateurs accordent aux prêteurs légitimes, en utilisant des techniques sophistiquées pour tromper et voler un très large éventail d’informations personnelles. »
Le développement fait également suite à la résurgence d’un cheval de Troie bancaire Android baptisé TrickMo qui se fait passer pour une application de streaming gratuite et est doté de fonctionnalités améliorées, telles que le vol de contenu d’écran, le téléchargement de modules d’exécution et l’injection de superposition pour extraire les informations d’identification des applications ciblées. à utiliser JsonPacker pour dissimuler son code malveillant.
« La transition du malware vers des attaques par superposition, son utilisation de JsonPacker pour obscurcir le code et son comportement cohérent avec le serveur de commande et de contrôle mettent en évidence la détermination des acteurs malveillants à affiner leurs stratégies », a déclaré Cyble. dit dans une analyse la semaine dernière.