8 miljoen Android-gebruikers getroffen door SpyLoan-malware in leenapps op Google Play

Meer dan een dozijn kwaadaardige Android-apps die in de Google Play Store zijn geïdentificeerd en die gezamenlijk meer dan 8 miljoen keer zijn gedownload, bevatten malware die bekend staat als SpyLoan, volgens nieuwe bevindingen van McAfee Labs.

“Deze PUP-applicaties (potentieel ongewenste programma’s) maken gebruik van social engineering-tactieken om gebruikers te misleiden om gevoelige informatie te verstrekken en extra toestemmingen voor mobiele apps te verlenen, wat kan leiden tot afpersing, intimidatie en financieel verlies”, zei beveiligingsonderzoeker Fernando Ruiz in een analyse die onlangs werd gepubliceerd. week.

De nieuw ontdekte apps beweren snelle leningen aan te bieden met minimale vereisten om nietsvermoedende gebruikers in Mexico, Colombia, Senegal, Thailand, Indonesië, Vietnam, Tanzania, Peru en Chili aan te trekken.

De 15 roofzuchtige lening-apps worden hieronder vermeld. Vijf van deze apps die nog steeds beschikbaar zijn om te downloaden in de officiële app store zouden wijzigingen hebben aangebracht om te voldoen aan het Google Play-beleid.

  • Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
  • Préstamo Rápido-Credit Easy (com.voscp.rapido)
  • ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
  • RupiahKilat-Dana cair (com.rupiahkilat.best)
  • ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
  • เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
  • KreditKu-Uang Online (com.kreditku.kuindo)
  • Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
  • Cash Loan-Vay tiền (com.vay.cashloan.cash)
  • RapidFinance (com.restrict.bright.cowboy)
  • PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
  • Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
  • IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
  • ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
  • ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

Sommige van deze apps zijn gepromoot via berichten op sociale mediaplatforms zoals Facebook, wat aangeeft welke verschillende methoden dreigingsactoren gebruiken om voorspellende slachtoffers te misleiden om ze te installeren.

SpyLoan is een recidivist die dateert uit 2020, met een rapport van ESET uit december 2023 waarin nog een reeks van 18 apps aan het licht kwam die gebruikers probeerden te bedriegen door hen leningen met hoge rente aan te bieden, terwijl ze heimelijk ook hun persoonlijke en financiële informatie verzamelden.

Het uiteindelijke doel van het financiële plan is om zoveel mogelijk informatie te verzamelen van geïnfecteerde apparaten, die vervolgens kunnen worden gebruikt om gebruikers af te persen door hen te dwingen de leningen tegen hogere rentetarieven terug te betalen, en in sommige gevallen ook tot uitgestelde betalingen of intimidatie. hen met gestolen persoonlijke foto’s.

“Uiteindelijk kunnen deze apps, in plaats van echte financiële hulp te bieden, gebruikers in een cyclus van schulden en privacyschendingen leiden”, aldus Ruiz.

Ondanks verschillen in de targeting, blijken de apps een gemeenschappelijk raamwerk te delen om gegevens van het apparaat van een slachtoffer te versleutelen en te exfiltreren naar een command-and-control (C2)-server. Ze volgen ook een vergelijkbare gebruikerservaring en onboardingproces om de lening aan te vragen.

Bovendien vragen de apps om een ​​aantal opdringerige machtigingen waarmee ze systeeminformatie, camera, oproeplogboeken, contactlijsten, grove locatie en sms-berichten kunnen verzamelen. Het verzamelen van gegevens wordt gerechtvaardigd door te beweren dat dit vereist is als onderdeel van gebruikersidentificatie en fraudebestrijdingsmaatregelen.

Gebruikers die zich voor de dienst registreren, worden gevalideerd via een eenmalig wachtwoord (OTP) om er zeker van te zijn dat ze een telefoonnummer uit de doelregio hebben. Ze worden ook aangespoord om aanvullende identificatiedocumenten, bankrekeningen en werknemersinformatie te verstrekken, die vervolgens allemaal in gecodeerd formaat met behulp van AES-128 naar de C2-server worden geëxfiltreerd.

Om de risico’s van dergelijke apps te beperken, is het essentieel om de app-machtigingen te controleren, app-recensies nauwkeurig te onderzoeken en de legitimiteit van de app-ontwikkelaar te bevestigen voordat u deze downloadt.

“De dreiging van Android-apps zoals SpyLoan is een mondiaal probleem dat misbruik maakt van het vertrouwen en de financiële wanhoop van gebruikers”, aldus Ruiz. “Ondanks wetshandhavingsacties om meerdere groepen te pakken te krijgen die betrokken zijn bij de werking van SpyLoan-apps, blijven nieuwe exploitanten en cybercriminelen deze fraudeactiviteiten uitbuiten.”

“SpyLoan-apps werken met vergelijkbare code op app- en C2-niveau over verschillende continenten. Dit suggereert de aanwezigheid van een gemeenschappelijke ontwikkelaar of een gedeeld raamwerk dat aan cybercriminelen wordt verkocht. Deze modulaire aanpak stelt deze ontwikkelaars in staat om snel kwaadaardige apps te verspreiden die zijn afgestemd op verschillende markten , waarbij lokale kwetsbaarheden worden uitgebuit en tegelijkertijd een consistent model voor het oplichten van gebruikers wordt gehandhaafd.”

Thijs Van der Does