Cybersecurity-onderzoekers hebben 18 kwaadaardige leen-apps voor Android ontdekt in de Google Play Store die gezamenlijk meer dan 12 miljoen keer zijn gedownload.
“Ondanks hun aantrekkelijke uiterlijk zijn deze diensten in feite bedoeld om gebruikers te bedriegen door hen leningen met een hoge rente aan te bieden, onderschreven met bedrieglijke beschrijvingen, terwijl ze tegelijkertijd de persoonlijke en financiële informatie van hun slachtoffers verzamelen om hen te chanteren en uiteindelijk hun geld te bemachtigen. ”, aldus ESET.
Het Slowaakse cybersecuritybedrijf volgt deze apps onder de naam Spyleningwaarbij wordt opgemerkt dat ze zijn ontworpen om potentiële kredietnemers in Zuidoost-Azië, Afrika en Latijns-Amerika te targeten.
De lijst met apps die nu door Google zijn verwijderd, vindt u hieronder:
- AA Kredit: इंस्टेंट लोन ऐप (com.aa.kredit.android)
- Amor Cash: Préstamos Sin Buró (com.amorcash.credito.prestamo)
- Oro Préstamo – Efectivo rapido (com.app.lo.go)
- Cashwow (com.cashwow.cow.eg)
- CrediBus Préstamos de crédito (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
- ยืมด้วยความมั่นใจ – ยืมด่วน (com.flashloan.wsft)
- PréstamosCrédito – GuayabaCash (com.guayaba.cash.okredito.mx.tala)
- Préstamos De Crédito-YumiCash (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
- Go Crédito – de confianza (com.mlo.xango)
- Instantáneo Préstamo (com.mmp.optima)
- Cartera grande (com.mxolp.postloan)
- Rápido Crédito (com.okey.prestamo)
- Finupp Lending (com.shuiyiwenhua.gl)
- 4S Cash (com.swefjjghs.weejteop)
- TrueNaira – Online lening (com.truenaira.cashloan.moneycredit)
- EasyCash (king.credit.ng)
- สินเชื่อปลอดภัย – สะดวก (com.sc.safe.credit)
Sms-berichten en sociale-mediakanalen zoals Twitter, Facebook en YouTube fungeren als de belangrijkste infectieroutes, hoewel de apps ook kunnen worden gedownload via oplichtingswebsites en app-winkels van derden.
“Geen van deze diensten biedt de mogelijkheid om via een website een lening aan te vragen, omdat de afpersers via een browser geen toegang hebben tot alle gevoelige gebruikersgegevens die op een smartphone zijn opgeslagen en die nodig zijn voor chantage”, aldus ESET-beveiligingsonderzoeker Lukáš Štefanko.
De apps maken deel uit van een breder plan dat dateert uit 2020 en wordt toegevoegd aan een reeks van meer dan 300 apps voor Android en iOS die Kaspersky, Lookout en Zimperium vorig jaar ontdekten en die misbruik maakten van het verlangen van ‘slachtoffers naar snel geld’ om leners in de val te lokken. in roofleningcontracten en eisen dat ze toegang verlenen tot gevoelige informatie zoals contacten en sms-berichten.”
Naast het verzamelen van de informatie van gecompromitteerde apparaten, is er ook waargenomen dat de exploitanten van SpyLoan hun toevlucht nemen tot chantage- en intimidatietactieken om slachtoffers onder druk te zetten om betalingen te doen door te dreigen hun foto’s en video’s vrij te geven op sociale-mediaplatforms.
In een bericht geïdentificeerd door The Hacker News en eerder deze februari geplaatst op de Help-community van Google Play, riep een gebruiker uit Nigeria EasyCash op voor het ‘op frauduleuze wijze verstrekken van leningen aan hun slachtoffers met hoge en buitensporige rentetarieven en hen met geweld te laten betalen met behulp van bedreigingen over chantage. , laster en karaktermoord, terwijl ze duidelijk het adres van de schuldenaar en de volledige naam van de overheid hebben, inclusief hun bankidentificatienummer (BVN), maar ze gaan nog steeds door met het in verlegenheid brengen van mensen, waardoor ze onder onnodige druk en paniek terechtkomen.’
Bovendien gebruiken de apps een misleidend privacybeleid om uit te leggen waarom ze toestemming nodig hebben voor de mediabestanden, camera, agenda, contacten, oproeplogboeken en sms-berichten van gebruikers. Sommige apps bevatten ook een link naar nepwebsites, vol met gestolen foto’s en stockfoto’s van de kantooromgeving, in een poging hun activiteiten een sluier van legitimiteit te geven.
Om de risico’s van dergelijke spywarebedreigingen te beperken, is het raadzaam om officiële bronnen te gebruiken voor het downloaden van apps, de authenticiteit van dergelijke aanbiedingen te valideren en goed te letten op beoordelingen en toestemmingen voorafgaand aan de installatie.
SpyLoan dient als een “belangrijke herinnering aan de risico’s waarmee kredietnemers worden geconfronteerd wanneer zij online financiële diensten zoeken”, aldus Štefanko. “Deze kwaadaardige applicaties maken misbruik van het vertrouwen dat gebruikers stellen in legitieme leningaanbieders, door gebruik te maken van geavanceerde technieken om een zeer breed scala aan persoonlijke informatie te misleiden en te stelen.”
De ontwikkeling volgt ook op de heropleving van een Android-banktrojan genaamd TrickMo, die zich voordoet als een vrij bewegende streaming-app en is uitgerust met verbeterde mogelijkheden, zoals het stelen van scherminhoud, het downloaden van runtime-modules en overlay-injectie om inloggegevens uit gerichte applicaties te extraheren. om JsonPacker te gebruiken om de kwaadaardige code te verbergen.
“De overgang van de malware naar overlay-aanvallen, het gebruik van JsonPacker voor codeverduistering en het consistente gedrag met de command-and-control-server benadrukken de toewijding van de bedreigingsacteur om zijn strategieën te verfijnen”, zei Cyble vorige week in een analyse.
