Από τις αρχές του 2023, οι ερευνητές της ESET έχουν παρατηρήσει μια ανησυχητική αύξηση των παραπλανητικών εφαρμογών δανείου Android, οι οποίες παρουσιάζονται ως νόμιμες υπηρεσίες προσωπικών δανείων, υποσχόμενες γρήγορη και εύκολη πρόσβαση σε κεφάλαια.
Παρά την ελκυστική εμφάνισή τους, αυτές οι υπηρεσίες στην πραγματικότητα έχουν σχεδιαστεί για να εξαπατούν τους χρήστες, προσφέροντας τους δάνεια υψηλού επιτοκίου με δόλια περιγραφές, ενώ συγκεντρώνουν προσωπικές και οικονομικές πληροφορίες των θυμάτων τους για να τους εκβιάσουν και στο τέλος να κερδίσουν τα χρήματά τους. Επομένως, τα προϊόντα ESET αναγνωρίζουν αυτές τις εφαρμογές χρησιμοποιώντας το όνομα εντοπισμού SpyLoan, το οποίο αναφέρεται άμεσα στη λειτουργικότητά τους spyware σε συνδυασμό με αξιώσεις δανείων.
Βασικά σημεία του blogpost:
- Οι εφαρμογές που αναλύονται από ερευνητές της ESET ζητούν διάφορες ευαίσθητες πληροφορίες από τους χρήστες τους και τις διοχετεύουν στους διακομιστές των εισβολέων.
- Αυτά τα δεδομένα χρησιμοποιούνται στη συνέχεια για την παρενόχληση και τον εκβιασμό των χρηστών αυτών των εφαρμογών και, σύμφωνα με κριτικές χρηστών, ακόμη και αν δεν παρασχέθηκε δάνειο.
- Η τηλεμετρία ESET δείχνει μια αισθητή ανάπτυξη σε αυτές τις εφαρμογές σε ανεπίσημα καταστήματα εφαρμογών τρίτων κατασκευαστών, στο Google Play και σε ιστότοπους από τις αρχές του 2023.
- Οι εφαρμογές κακόβουλου δανείου επικεντρώνονται σε πιθανούς δανειολήπτες με έδρα τη Νοτιοανατολική Ασία, την Αφρική και τη Λατινική Αμερική.
- Όλες αυτές οι υπηρεσίες λειτουργούν μόνο μέσω εφαρμογών για κινητά, καθώς οι εισβολείς δεν μπορούν να έχουν πρόσβαση σε όλα τα ευαίσθητα δεδομένα χρήστη που είναι αποθηκευμένα στο smartphone του θύματος μέσω προγραμμάτων περιήγησης.
Επισκόπηση
Η ESET είναι μέλος της App Defense Alliance και ενεργός συνεργάτης στο πρόγραμμα μετριασμού κακόβουλου λογισμικού, το οποίο στοχεύει στη γρήγορη εύρεση των δυνητικά επιβλαβών εφαρμογών (PHA) και τη διακοπή τους προτού εισέλθουν ποτέ στο Google Play.
Όλες οι εφαρμογές SpyLoan που περιγράφονται σε αυτό το blogpost και αναφέρονται στην ενότητα IoCs διατίθενται στην αγορά μέσω των μέσων κοινωνικής δικτύωσης και Μηνυμάτων SMSκαι είναι διαθέσιμο για λήψη από αποκλειστικούς ιστότοπους απάτης και καταστήματα εφαρμογών τρίτων. Όλες αυτές οι εφαρμογές ήταν επίσης διαθέσιμες στο Google Play. Ως συνεργάτης της Google App Defense Alliance, η ESET εντόπισε 18 εφαρμογές SpyLoan και τις ανέφερε στην Google, η οποία στη συνέχεια αφαίρεσε 17 από αυτές τις εφαρμογές από την πλατφόρμα της. Πριν από την κατάργησή τους, αυτές οι εφαρμογές είχαν συνολικά περισσότερες από 12 εκατομμύρια λήψεις από το Google Play. Η τελευταία εφαρμογή που εντοπίστηκε από την ESET εξακολουθεί να είναι διαθέσιμη στο Google Play – ωστόσο, εφόσον οι προγραμματιστές της άλλαξαν τα δικαιώματα και τη λειτουργικότητά της, δεν την εντοπίζουμε πλέον ως εφαρμογή SpyLoan.
Είναι σημαντικό να σημειωθεί ότι κάθε παρουσία μιας συγκεκριμένης εφαρμογής SpyLoan, ανεξάρτητα από την πηγή της, συμπεριφέρεται πανομοιότυπα λόγω του ίδιου υποκείμενου κώδικα. Με απλά λόγια, εάν οι χρήστες κατεβάσουν μια συγκεκριμένη εφαρμογή, θα αντιμετωπίσουν τις ίδιες λειτουργίες και θα αντιμετωπίσουν τους ίδιους κινδύνους, ανεξάρτητα από το πού πήραν την εφαρμογή. Δεν έχει σημασία αν η λήψη προήλθε από έναν ύποπτο ιστότοπο, ένα κατάστημα εφαρμογών τρίτου μέρους ή ακόμα και από το Google Play – η συμπεριφορά της εφαρμογής θα είναι η ίδια σε όλες τις περιπτώσεις.
Καμία από αυτές τις υπηρεσίες δεν παρέχει την επιλογή να ζητήσετε δάνειο χρησιμοποιώντας έναν ιστότοπο, καθώς μέσω ενός προγράμματος περιήγησης οι εκβιαστές δεν μπορούν να έχουν πρόσβαση σε όλα τα ευαίσθητα δεδομένα χρήστη που είναι αποθηκευμένα σε ένα smartphone και χρειάζονται για εκβιασμό.
Σε αυτήν την ανάρτηση ιστολογίου, περιγράφουμε τον μηχανισμό των εφαρμογών SpyLoan και τις διάφορες παραπλανητικές τεχνικές που χρησιμοποιούν για να παρακάμψουν τις πολιτικές του Google Play και να παραπλανήσουν και να εξαπατήσουν τους χρήστες. Μοιραζόμαστε επίσης τα βήματα που μπορούν να κάνουν τα θύματα εάν έχουν πέσει σε αυτήν την απάτη και πολλές συστάσεις σχετικά με τον τρόπο διάκρισης μεταξύ κακόβουλων και νόμιμων εφαρμογών δανείου, ώστε οι πιθανοί δανειολήπτες να μπορούν να προστατευτούν.
Victimology
Σύμφωνα με την τηλεμετρία της ESET, οι φορείς επιβολής αυτών των εφαρμογών λειτουργούν κυρίως στο Μεξικό, την Ινδονησία, την Ταϊλάνδη, το Βιετνάμ, την Ινδία, το Πακιστάν, την Κολομβία, το Περού, τις Φιλιππίνες, την Αίγυπτο, την Κένυα, τη Νιγηρία και τη Σιγκαπούρη (βλ. χάρτη στο Σχήμα 2). Όλες αυτές οι χώρες έχουν διάφορους νόμους που διέπουν τα ιδιωτικά δάνεια – όχι μόνο τα επιτόκια αλλά και την επικοινωνιακή τους διαφάνεια. Ωστόσο, δεν γνωρίζουμε πόσο επιτυχώς επιβάλλονται. Πιστεύουμε ότι τυχόν εντοπισμοί εκτός αυτών των χωρών σχετίζονται με smartphone που έχουν, για διάφορους λόγους, πρόσβαση σε έναν αριθμό τηλεφώνου που είναι καταχωρημένος σε μία από αυτές τις χώρες.
Τη στιγμή της σύνταξης, δεν έχουμε δει μια ενεργή καμπάνια που να στοχεύει ευρωπαϊκές χώρες, τις ΗΠΑ ή τον Καναδά.
Τεχνική ανάλυση
Αρχική πρόσβαση
Η ESET Research έχει εντοπίσει την προέλευση του συστήματος SpyLoan από το 2020. Εκείνη την εποχή, τέτοιες εφαρμογές παρουσίαζαν μόνο μεμονωμένες περιπτώσεις που δεν τράβηξαν την προσοχή των ερευνητών. Ωστόσο, η παρουσία κακόβουλων εφαρμογών δανείου συνέχισε να αυξάνεται και, τελικά, αρχίσαμε να τις εντοπίζουμε στο Google Play, στο Apple App Store και σε ειδικούς ιστότοπους απάτης. Στιγμιότυπα οθόνης ενός τέτοιου παραδείγματος φαίνονται στο Σχήμα 3 και στο Σχήμα 4. Αυτή η προσέγγιση πολλαπλών πλατφορμών μεγιστοποίησε την προσέγγισή τους και αύξησε τις πιθανότητες αφοσίωσης των χρηστών, αν και αργότερα αυτές οι εφαρμογές καταργήθηκαν και από τα δύο επίσημα καταστήματα εφαρμογών.
Στις αρχές του 2022, η ESET επικοινώνησε με το Google Play για να ειδοποιήσει την πλατφόρμα για περισσότερες από 20 κακόβουλες εφαρμογές δανείου που είχαν πάνω από 9 εκατομμύρια συλλογικές λήψεις. Μετά από παρέμβασή μας, η εταιρεία διέγραψε αυτές τις εφαρμογές από την πλατφόρμα της. Η εταιρεία ασφαλείας Lookout εντόπισε 251 εφαρμογές Android στο Google Play και 35 εφαρμογές iOS στο Apple App Store που παρουσίαζαν επιθετική συμπεριφορά. Σύμφωνα με το Lookout, είχαν έρθει σε επαφή με την Google και την Apple σχετικά με τις ταυτοποιημένες εφαρμογές και τον Νοέμβριο του 2022 δημοσίευσαν ανάρτηση σχετικά με αυτές τις εφαρμογές. Η Google έχει ήδη εντοπίσει και αφαίρεσε την πλειονότητα των κακόβουλων εφαρμογών δανείου πριν από τη δημοσίευση της έρευνας του Lookout, με δύο από τις ταυτοποιημένες εφαρμογές να αφαιρούνται από το Google Play από τον προγραμματιστή. Συλλογικά αυτές οι εφαρμογές στο Google Play είχαν πάνω από 15 εκατομμύρια λήψεις. Η Apple κατήργησε επίσης τις ταυτοποιημένες εφαρμογές.
Σύμφωνα με την τηλεμετρία της ESET, οι ανιχνεύσεις SpyLoan άρχισαν να αυξάνονται ξανά τον Ιανουάριο του 2023 και συνέχισαν να αυξάνονται από τότε ακόμη περισσότερο σε ανεπίσημα καταστήματα εφαρμογών τρίτων, στο Google Play και σε ιστότοπους. περιγράψαμε αυτή την ανάπτυξη στο Έκθεση απειλής ESET H1 2023.
Στο δικό τους Περίληψη ασφαλείας 2022, η Google περιέγραψε πώς η εταιρεία διατήρησε τους χρήστες του Android και του Google Play ασφαλείς, παρουσιάζοντας νέες απαιτήσεις για εφαρμογές προσωπικών δανείων σε διάφορες περιοχές. Όπως τεκμηριώνεται, τα τελευταία τρία χρόνια, η κατάσταση έχει εξελιχθεί και το Google Play έχει κάνει αρκετές αλλαγές στις πολιτικές εφαρμογών προσωπικών δανείων – με συγκεκριμένες απαιτήσεις ανά χώρα στην Ινδία, την Ινδονησία, τις Φιλιππίνες, τη Νιγηρία, την Κένυα, το Πακιστάν και την Ταϊλάνδη – και έχει αδημοσίευτες πολλές κακόβουλες εφαρμογές δανείου.
Για να δελεάσουν τα θύματα, οι δράστες προωθούν ενεργά αυτές τις κακόβουλες εφαρμογές με μηνύματα SMS και σε δημοφιλή κανάλια κοινωνικών μέσων όπως το Twitter, το Facebook και το YouTube. Αξιοποιώντας αυτή την τεράστια βάση χρηστών, οι απατεώνες στοχεύουν να προσελκύσουν ανυποψίαστα θύματα που χρειάζονται οικονομική βοήθεια.
Αν και αυτό το σύστημα δεν χρησιμοποιείται σε κάθε εφαρμογή SpyLoan που αναλύσαμε, μια άλλη ανησυχητική πτυχή ορισμένων εφαρμογών SpyLoan είναι η πλαστοπροσωπία αξιόπιστων παρόχων δανείων και χρηματοοικονομικών υπηρεσιών με κατάχρηση των ονομάτων και της επωνυμίας νόμιμων οντοτήτων. Για να βοηθήσουν στην ευαισθητοποίηση των πιθανών θυμάτων, ορισμένες νόμιμες οικονομικές υπηρεσίες έχουν προειδοποιήσει ακόμη και για τις εφαρμογές SpyLoan στα μέσα κοινωνικής δικτύωσης, όπως φαίνεται στην Εικόνα 5.
Εργαλειοθήκη
Μόλις ένας χρήστης εγκαταστήσει μια εφαρμογή SpyLoan, του ζητείται να αποδεχτεί τους όρους παροχής υπηρεσιών και να εκχωρήσει εκτεταμένα δικαιώματα πρόσβασης σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στη συσκευή. Στη συνέχεια, η εφαρμογή ζητά εγγραφή χρήστη, η οποία συνήθως πραγματοποιείται μέσω SMS επαλήθευσης κωδικού πρόσβασης μία φορά για την επικύρωση του αριθμού τηλεφώνου του θύματος.
Αυτές οι φόρμες εγγραφής επιλέγουν αυτόματα τον κωδικό χώρας με βάση τον κωδικό χώρας από τον αριθμό τηλεφώνου του θύματος, διασφαλίζοντας ότι μόνο άτομα με αριθμούς τηλεφώνου εγγεγραμμένους στη χώρα-στόχο μπορούν να δημιουργήσουν λογαριασμό, όπως φαίνεται στην Εικόνα 6.
Μετά την επιτυχή επαλήθευση του αριθμού τηλεφώνου, οι χρήστες αποκτούν πρόσβαση στη λειτουργία αίτησης δανείου εντός της εφαρμογής. Για την ολοκλήρωση της διαδικασίας αίτησης δανείου, οι χρήστες υποχρεούνται να παρέχουν εκτενείς προσωπικές πληροφορίες, όπως στοιχεία διεύθυνσης, στοιχεία επικοινωνίας, αποδεικτικά εισοδήματος, στοιχεία τραπεζικού λογαριασμού, ακόμη και να ανεβάζουν φωτογραφίες της μπροστινής και πίσω όψης των δελτίων ταυτότητάς τους και μια selfie , όπως απεικονίζεται στο Σχήμα 7.
Οι εφαρμογές SpyLoan αποτελούν σημαντική απειλή εξάγοντας κρυφά ένα ευρύ φάσμα προσωπικών πληροφοριών από ανυποψίαστους χρήστες – αυτές οι εφαρμογές είναι σε θέση να στέλνουν ευαίσθητα δεδομένα στους διακομιστές εντολών και ελέγχου (C&C). Τα δεδομένα που συνήθως εξάγονται περιλαμβάνουν τη λίστα λογαριασμών, αρχεία καταγραφής κλήσεων, συμβάντα ημερολογίου, πληροφορίες συσκευής, λίστες εγκατεστημένων εφαρμογών, πληροφορίες τοπικού δικτύου Wi-Fi, ακόμη και πληροφορίες σχετικά με αρχεία στη συσκευή (όπως π.χ. Μεταδεδομένα Exif από εικόνες χωρίς να αποστέλλονται οι ίδιες οι φωτογραφίες). Επιπλέον, οι λίστες επαφών, τα δεδομένα τοποθεσίας και τα μηνύματα SMS είναι επίσης ευάλωτα. Για να προστατεύσουν τις δραστηριότητές τους, οι δράστες κρυπτογραφούν όλα τα κλεμμένα δεδομένα πριν τα μεταδώσουν στον διακομιστή C&C.
Καθώς οι εφαρμογές SpyLoan εξελίχθηκαν, ο κακόβουλος κώδικάς τους έγινε πιο περίπλοκος. Σε προηγούμενες εκδόσεις, η επιβλαβής λειτουργικότητα του κακόβουλου λογισμικού δεν ήταν κρυφή ή προστατευμένη. Ωστόσο, οι μεταγενέστερες εκδόσεις ενσωμάτωσαν ορισμένες πιο προηγμένες τεχνικές όπως η συσκότιση κώδικα, οι κρυπτογραφημένες συμβολοσειρές και η κρυπτογραφημένη επικοινωνία C&C για την απόκρυψη των κακόβουλων δραστηριοτήτων τους. Για μια πιο λεπτομερή κατανόηση αυτών των βελτιώσεων, ανατρέξτε στο Σχήμα 8 και στο Σχήμα 9.
Τον Μάιο του 31st, 2023, πρόσθετες πολιτικές άρχισε να εφαρμόζεται σε εφαρμογές δανεισμού στο Google Play, δηλώνοντας ότι απαγορεύεται σε τέτοιες εφαρμογές να ζητούν άδεια πρόσβασης σε ευαίσθητα δεδομένα όπως εικόνες, βίντεο, επαφές, αριθμούς τηλεφώνου, τοποθεσία και δεδομένα εξωτερικού χώρου αποθήκευσης. Φαίνεται ότι αυτή η ενημερωμένη πολιτική δεν είχε άμεση επίδραση στις υπάρχουσες εφαρμογές, καθώς οι περισσότερες από αυτές που αναφέραμε εξακολουθούσαν να είναι διαθέσιμες στην πλατφόρμα (συμπεριλαμβανομένων των γενικών αδειών τους) αφού άρχισε να ισχύει η πολιτική, όπως φαίνεται στο Σχήμα 10. Ωστόσο, όπως αναφέραμε, η Google αργότερα κατάργησε τη δημοσίευση αυτών των εφαρμογών.
Επακόλουθο
Μετά την εγκατάσταση μιας τέτοιας εφαρμογής και τη συλλογή προσωπικών δεδομένων, οι υπεύθυνοι επιβολής της εφαρμογής αρχίζουν να παρενοχλούν και να εκβιάζουν τα θύματά τους για να κάνουν πληρωμές, ακόμη και αν –σύμφωνα με τις κριτικές– ο χρήστης δεν υπέβαλε αίτηση για δάνειο ή υπέβαλε αίτηση αλλά το δάνειο δεν ήταν». t εγκρίθηκε. Τέτοιες πρακτικές έχουν περιγραφεί στις κριτικές αυτών των εφαρμογών στο Facebook και στο Google Play, όπως φαίνεται στο Σχήμα 11 (αναφέροντας ακόμη και τις απειλές θανάτου), Εικόνα 12 (μερική αυτόματη μετάφραση: Αξίζει το χρέος που έχετε την ησυχία σας και του τους αγαπημένους σας; … Θέλετε πραγματικά να θέσετε σε κίνδυνο την ασφάλειά σας; … Είστε πρόθυμοι να πληρώσετε τις συνέπειες; Μπορείτε να αντιμετωπίσετε πολλά προβλήματα, να αποφύγετε μια κακή εμπειρία για εσάς και τους γύρω σας.) και Εικόνα 13 .
Εκτός από τη συλλογή δεδομένων και τον εκβιασμό, αυτές οι υπηρεσίες παρουσιάζουν μια μορφή σύγχρονης ψηφιακής τοκογλυφίας, η οποία αναφέρεται στη χρέωση υπερβολικών επιτοκίων στα δάνεια, στην εκμετάλλευση ευάλωτων ατόμων με επείγουσες οικονομικές ανάγκες ή δανειοληπτών που έχουν περιορισμένη πρόσβαση στα κύρια οικονομικά ιδρύματα. Ένας χρήστης έδωσε αρνητική κριτική (που φαίνεται στο Σχήμα 14) σε μια εφαρμογή SpyLoan όχι επειδή τον παρενοχλούσε, αλλά επειδή είχαν ήδη περάσει τέσσερις ημέρες από τότε που έκανε αίτηση για δάνειο, αλλά δεν είχε συμβεί τίποτα και χρειαζόταν χρήματα για φάρμακα.
Η τοκογλυφία θεωρείται γενικά τόσο ανήθικη που καταδικάζεται σε διάφορα θρησκευτικά κείμενα και ρυθμίζεται από νόμους για την προστασία των δανειοληπτών από τέτοιες ληστρικές πρακτικές. Είναι, ωστόσο, σημαντικό να σημειωθεί ότι μια τυπική δανειακή σύμβαση δεν θεωρείται τοκογλυφία εάν ο τόκος ορίζεται σε λογικό επιτόκιο και ακολουθεί νομικές οδηγίες.
Οι λόγοι πίσω από την ταχεία ανάπτυξη
Υπάρχουν διάφοροι λόγοι πίσω από την ταχεία ανάπτυξη των εφαρμογών SpyLoan. Το ένα είναι ότι οι προγραμματιστές αυτών των εφαρμογών εμπνέονται από επιτυχημένες υπηρεσίες FinTech (χρηματοοικονομικής τεχνολογίας), οι οποίες αξιοποιούν την τεχνολογία για να παρέχουν απλοποιημένες και φιλικές προς τον χρήστη χρηματοοικονομικές υπηρεσίες. Οι εφαρμογές και οι πλατφόρμες FinTech είναι γνωστό ότι διαταράσσουν τον παραδοσιακό χρηματοοικονομικό κλάδο προσφέροντας ευκολία όσον αφορά την προσβασιμότητα, επιτρέποντας στους ανθρώπους, με φιλικό προς τον χρήστη τρόπο, να εκτελούν διάφορες οικονομικές δραστηριότητες ανά πάσα στιγμή, οπουδήποτε, χρησιμοποιώντας μόνο τα smartphone τους. Αντίθετα, το μόνο πράγμα που διαταράσσουν οι εφαρμογές SpyLoan είναι η εμπιστοσύνη στην τεχνολογία, τα χρηματοπιστωτικά ιδρύματα και παρόμοιες οντότητες.
Ένας άλλος λόγος για την ανάπτυξή τους σημειώθηκε στο Η ανάλυση του Zimperium για το πώς οι κακόβουλοι παράγοντες εκμεταλλεύτηκαν το πλαίσιο Flutter και το χρησιμοποίησαν για να αναπτύξουν εφαρμογές κακόβουλου δανείου. Flutter είναι ένα κιτ ανάπτυξης λογισμικού ανοιχτού κώδικα (SDK) που έχει σχεδιαστεί για τη δημιουργία εφαρμογών πολλαπλών πλατφορμών που μπορούν να εκτελούνται σε διάφορες πλατφόρμες όπως Android, iOS, web και Windows. Από την κυκλοφορία του τον Δεκέμβριο του 2018, το Flutter έχει διαδραματίσει σημαντικό ρόλο στη διευκόλυνση της ανάπτυξης νέων εφαρμογών για κινητά και στην ώθηση της εισαγωγής τους στην αγορά.
Ενώ μόνο οι προγραμματιστές εφαρμογών μπορούν να επιβεβαιώσουν με βεβαιότητα εάν χρησιμοποίησαν το Flutter για να προγραμματίσουν τις εφαρμογές τους ή μέρη τους, από τις 17 εφαρμογές που αναφέραμε στην Google, τρεις από αυτές περιέχουν βιβλιοθήκες ειδικά για το Flutter ή .βέλος επεκτάσεις, οι οποίες αναφέρονται στη γλώσσα προγραμματισμού Flutter's Dart. Αυτό δείχνει ότι τουλάχιστον ορισμένοι από τους εισβολείς χρησιμοποιούν καλοήθη εργαλεία τρίτων για να διευκολύνουν την ανάπτυξη των κακόβουλων εφαρμογών τους.
Παραπλανητικές τεχνικές επικοινωνίας
Οι εφαρμογές κακόβουλου δανείου χρησιμοποιούν συχνά στοιχεία διατύπωσης και σχεδίασης που μοιάζουν πολύ με νόμιμες εφαρμογές δανείου. Αυτή η σκόπιμη ομοιότητα καθιστά δύσκολο για τους τυπικούς χρήστες να προσδιορίσουν την αυθεντικότητα μιας εφαρμογής, ειδικά όταν εμπλέκονται οικονομικοί και νομικοί όροι. Οι παραπλανητικές επικοινωνίες που αναπτύσσονται από αυτές τις εφαρμογές χωρίζονται σε πολλά επίπεδα.
Επίσημη περιγραφή του Google Play
Για να μπορέσουν να βάλουν το πόδι τους στην πόρτα του Google Play και να δημοσιευτούν στην πλατφόρμα, όλες οι εφαρμογές SpyLoan που αναλύσαμε παρείχαν μια περιγραφή που ως επί το πλείστον φαίνεται να είναι σύμφωνη όχι μόνο με τις απαιτήσεις του Google Play, αλλά φαίνεται να καλύπτει και την τοπική νομοθεσία αιτήματα; Ορισμένες εφαρμογές ισχυρίστηκαν ακόμη και ότι ήταν εγγεγραμμένες μη τραπεζικές χρηματοοικονομικές εταιρείες. Ωστόσο, οι επιτόπιες συναλλαγές και οι επιχειρηματικές πρακτικές – όπως αποδεικνύεται από κριτικές χρηστών και άλλες αναφορές – που πραγματοποιήθηκαν από τους προγραμματιστές αυτών των εφαρμογών δεν πληρούσαν τα πρότυπα που ρητά αναφέρουν.
Γενικά, οι εφαρμογές SpyLoan δηλώνουν ανοιχτά ποιες άδειες ζητούνται, ισχυρίζονται ότι έχουν τη σωστή άδεια χρήσης και παρέχουν το εύρος του ετήσιου ποσοστού (που είναι πάντα εντός του νομικού ορίου που ορίζεται από τους τοπικούς νόμους περί τοκογλυφίας ή παρόμοια νομοθεσία). Το ετήσιο επιτόκιο (APR) περιγράφει και περιλαμβάνει το επιτόκιο και ορισμένες προμήθειες ή επιβαρύνσεις που σχετίζονται με το δάνειο, όπως προμήθειες δημιουργίας, προμήθειες επεξεργασίας ή άλλες χρηματοοικονομικές χρεώσεις. Σε πολλές χώρες, έχει νόμιμο ανώτατο όριο και, για παράδειγμα, στην περίπτωση των προσωπικών παρόχων δανείων στις ΗΠΑ, η Google περιόρισε το ΑΠΡ στο 36%.
Το συνολικό ετήσιο κόστος (TAC ή CAT – ετήσιο σύνολο κόστους – στα ισπανικά) υπερβαίνει το ΣΕΠΕ και περιλαμβάνει όχι μόνο το επιτόκιο και τις προμήθειες αλλά και άλλα κόστη, όπως ασφάλιστρα ή πρόσθετα έξοδα που σχετίζονται με το δάνειο. Το TAC, επομένως, παρέχει στους δανειολήπτες μια πιο ακριβή εκτίμηση της συνολικής οικονομικής δέσμευσης που απαιτείται από το δάνειο, συμπεριλαμβανομένων όλων των σχετικών δαπανών. Καθώς ορισμένες χώρες της Λατινικής Αμερικής απαιτούν από τους παρόχους δανείων να αποκαλύπτουν το TAC, οι εφαρμογές SpyLoan που διατίθενται στην αγορά σε αυτήν την περιοχή αποκάλυψαν το πραγματικό υψηλό κόστος των δανείων τους με TAC μεταξύ 160% και 340%, όπως φαίνεται στο Σχήμα 15.
Οι περιγραφές εφαρμογών περιελάμβαναν επίσης τη θητεία για προσωπικά δάνεια, η οποία ορίζεται από τον πάροχο δανείων και σύμφωνα με την Google Πολιτική Χρηματοοικονομικών Υπηρεσιών δεν μπορεί να οριστεί σε 60 ημέρες ή λιγότερο. Η διάρκεια του δανείου αντιπροσωπεύει την περίοδο εντός της οποίας ο δανειολήπτης αναμένεται να αποπληρώσει τα δανεισμένα κεφάλαια και όλα τα συναφή έξοδα στον δανειστή. Οι εφαρμογές που αναλύσαμε είχαν θητεία μεταξύ 91 και 360 ημερών (βλ. Εικόνα 15). Ωστόσο, οι πελάτες που παρείχαν σχόλια για το Google Play (βλ. Εικόνα 16) παραπονέθηκαν ότι η θητεία ήταν σημαντικά μικρότερη και ότι το ενδιαφέρον ήταν υψηλό. Αν δούμε το τρίτο παράδειγμα στην ανατροφοδότηση στο Σχήμα 16, ο τόκος (549 πέσος) ήταν υψηλότερος από το πραγματικό δάνειο (450 πέσος) και το δάνειο μαζί με τους τόκους (999 πέσος) πρέπει να έχουν αποπληρωθεί σε 5 ημέρες, ως εκ τούτου, παραβιάζει τις πολιτικές της Google σχετικά με τη διάρκεια των δανείων.
Πολιτική Προσωπικών Δεδομένων
Επειδή έχει εντολή από Πολιτική προγραμματιστή του Google Play, και σύμφωνα με Γνωρίστε τα πρότυπα του πελάτη σας (KYC)., οι προγραμματιστές που θέλουν να τοποθετήσουν τις εφαρμογές τους στο Google Play πρέπει να παρέχουν μια έγκυρη και εύκολα προσβάσιμη πολιτική απορρήτου. Αυτή η πολιτική πρέπει να καλύπτει πτυχές όπως τα είδη των δεδομένων που συλλέγονται, τον τρόπο χρήσης τους, με ποιους μπορεί να κοινοποιηθούν, τα μέτρα ασφαλείας που εφαρμόζονται για την προστασία των δεδομένων των χρηστών και τον τρόπο με τον οποίο οι χρήστες μπορούν να ασκήσουν τα δικαιώματά τους σχετικά με τα δεδομένα τους. Αυτό είναι παρόμοιο με τις οδηγίες της KYC που απαιτούν διαφάνεια στη χρήση και προστασία δεδομένων. Οι απαιτήσεις KYC για τη συλλογή δεδομένων περιλαμβάνουν συνήθως τη συλλογή προσωπικών πληροφοριών όπως το πλήρες όνομα, την ημερομηνία γέννησης, τη διεύθυνση, τα στοιχεία επικοινωνίας και έναν αριθμό ταυτότητας ή έγγραφο που έχει εκδοθεί από την κυβέρνηση. Στο πλαίσιο των χρηματοοικονομικών υπηρεσιών, αυτό μπορεί επίσης να περιλαμβάνει τη συλλογή δεδομένων σχετικά με την κατάσταση απασχόλησης, την πηγή εισοδήματος, το πιστωτικό ιστορικό και άλλες πληροφορίες σχετικές με την αξιολόγηση της πιστοληπτικής ικανότητας.
Παρόλο που μια πολιτική απορρήτου είναι ένα νόμιμο έγγραφο, μπορεί να δημιουργηθεί αυτόματα με έναν πολύ εύκολο τρόπο – υπάρχουν πολλές δωρεάν εταιρείες δημιουργίας πολιτικών απορρήτου που μπορούν να δημιουργήσουν ένα τέτοιο έγγραφο αφού ο προγραμματιστής της εφαρμογής εισαγάγει βασικά δεδομένα, όπως το όνομα της εφαρμογής, εταιρεία πίσω από αυτό και δεδομένα που συλλέγει η εφαρμογή. Αυτό σημαίνει ότι είναι πολύ απλό να δημιουργήσετε μια πολιτική απορρήτου που να φαίνεται γνήσια στον μέσο άνθρωπο.
Σε πλήρη αντίθεση με τους κανόνες KYC, οι εφαρμογές SpyLoan που εντοπίσαμε χρησιμοποιούσαν παραπλανητικές τακτικές στις πολιτικές απορρήτου τους. Ισχυρίστηκαν ότι χρειάζονταν άδεια πρόσβασης σε αρχεία πολυμέσων «για τη διεξαγωγή αξιολόγησης κινδύνου», άδεια αποθήκευσης «για να βοηθήσουν στην υποβολή εγγράφων», πρόσβαση σε δεδομένα SMS που ισχυρίστηκαν ότι σχετίζονται μόνο με οικονομικές συναλλαγές «για να σας αναγνωρίσουν σωστά», πρόσβαση στο ημερολόγιο «για να προγραμματίστε την αντίστοιχη ημερομηνία πληρωμής και τις αντίστοιχες υπενθυμίσεις», την άδεια της κάμερας «για να βοηθήσετε τους χρήστες να ανεβάσουν τα απαιτούμενα δεδομένα φωτογραφιών» και τα δικαιώματα καταγραφής κλήσεων «για να επιβεβαιώσετε ότι η εφαρμογή μας είναι εγκατεστημένη στο τηλέφωνό σας». Στην πραγματικότητα, σύμφωνα με τα πρότυπα KYC, η επαλήθευση ταυτότητας και η αξιολόγηση κινδύνου θα μπορούσαν να γίνουν χρησιμοποιώντας πολύ λιγότερο παρεμβατικές μεθόδους συλλογής δεδομένων. Όπως αναφέραμε προηγουμένως, σύμφωνα με τις πολιτικές απορρήτου αυτών των εφαρμογών, εάν αυτές οι άδειες δεν παραχωρηθούν στην εφαρμογή, η υπηρεσία και επομένως το δάνειο δεν θα παρασχεθεί. Η αλήθεια είναι ότι αυτές οι εφαρμογές δεν χρειάζονται όλες αυτές τις άδειες, καθώς όλα αυτά τα δεδομένα μπορούν να μεταφορτωθούν στην εφαρμογή με εφάπαξ άδεια που έχει πρόσβαση μόνο σε επιλεγμένες φωτογραφίες και έγγραφα, όχι σε όλα, ένα αίτημα ημερολογίου μπορεί αποστέλλονται στον παραλήπτη του δανείου μέσω email και η άδεια πρόσβασης στα αρχεία καταγραφής κλήσεων είναι εντελώς περιττή.
Ορισμένες πολιτικές απορρήτου διατυπώθηκαν με εξαιρετικά αντιφατικό τρόπο. Αφενός, απαρίθμησαν παραπλανητικούς λόγους για τη συλλογή προσωπικών δεδομένων, ενώ από την άλλη, ισχυρίστηκαν ότι δεν συλλέγονται ευαίσθητα προσωπικά δεδομένα, όπως απεικονίζεται στο Σχήμα 17. Αυτό έρχεται σε αντίθεση με τα πρότυπα KYC, τα οποία απαιτούν ειλικρινή και διαφανή επικοινωνία σχετικά με τη συλλογή δεδομένων και χρήση, συμπεριλαμβανομένων των συγκεκριμένων τύπων δεδομένων που αναφέρθηκαν προηγουμένως.
Πιστεύουμε ότι ο πραγματικός σκοπός αυτών των αδειών είναι η κατασκοπεία των χρηστών αυτών των εφαρμογών και η παρενόχληση και ο εκβιασμός αυτών και των επαφών τους.
Μια άλλη πολιτική απορρήτου αποκάλυψε ότι η εφαρμογή που παρέχει δάνεια για Αιγύπτιους λειτουργεί από τον SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI. Σύμφωνα με την Αιγυπτιακή Γενική Αρχή Επενδύσεων και Ελεύθερων Ζωνών, καμία τέτοια εταιρεία δεν είναι εγγεγραμμένη στην Αίγυπτο. το βρήκαμε, ωστόσο, στο λίστα με δεκάδες παράνομες πλατφόρμες peer-to-peer δανεισμού για το οποίο προειδοποίησε η Ομάδα Εργασίας Επενδύσεων της Ινδονησίας τον Ιανουάριο του 2021.
Συμπερασματικά, ενώ αυτές οι εφαρμογές SpyLoan συμμορφώνονται τεχνικά με τις απαιτήσεις ύπαρξης πολιτικής απορρήτου, οι πρακτικές τους ξεπερνούν σαφώς το πεδίο της συλλογής δεδομένων που απαιτείται για την παροχή χρηματοοικονομικών υπηρεσιών και τη συμμόρφωση με τα τραπεζικά πρότυπα KYC. Σύμφωνα με τους κανονισμούς KYC, οι νόμιμες εφαρμογές δανείου θα ζητούν μόνο απαραίτητα προσωπικά δεδομένα για την επαλήθευση της ταυτότητας και της πιστοληπτικής ικανότητας και όχι πρόσβαση σε άσχετα δεδομένα όπως αρχεία πολυμέσων ή καταχωρίσεις ημερολογίου. Συνολικά, είναι σημαντικό για τους χρήστες να κατανοούν τα δικαιώματά τους και να είναι προσεκτικοί σχετικά με τα δικαιώματα που εκχωρούν σε οποιαδήποτε εφαρμογή. Αυτό περιλαμβάνει τη γνώση των προτύπων που ορίζονται από τους τραπεζικούς κανονισμούς KYC, οι οποίοι έχουν σχεδιαστεί όχι μόνο για την προστασία των χρηματοπιστωτικών ιδρυμάτων από απάτες και άλλες παράνομες δραστηριότητες, αλλά και για τα προσωπικά δεδομένα και τις οικονομικές συναλλαγές των χρηστών τους.
Κατασκευή Ιστοσελίδων
Ορισμένες από αυτές τις εφαρμογές είχαν επίσημους ιστότοπους που βοήθησαν στη δημιουργία της ψευδαίσθησης ενός καθιερωμένου, πελατοκεντρικού παρόχου προσωπικών δανείων, περιείχαν έναν σύνδεσμο προς το Google Play και άλλες, ως επί το πλείστον, γενικές και απλές πληροφορίες που ήταν παρόμοιες με την περιγραφή που παρείχε ο προγραμματιστής στο Google Play , πριν καταργηθεί η εφαρμογή. Συνήθως δεν αποκάλυπταν το όνομα της επιχείρησης που βρισκόταν πίσω από την εφαρμογή. Ωστόσο, ένας από τους πολλούς ιστότοπους που αναλύσαμε προχώρησε περισσότερο και περιείχε λεπτομέρειες σχετικά με ανοιχτές θέσεις εργασίας, εικόνες άνετου περιβάλλοντος γραφείου και φωτογραφίες του Διοικητικού Συμβουλίου – οι οποίες είχαν κλαπεί από άλλους ιστότοπους.
Οι ανοιχτές θέσεις εργασίας αντιγράφηκαν από άλλες εταιρείες και επεξεργάστηκαν μόνο με δευτερεύοντες τρόπους. Σε αυτό που αντιγράφηκε από Instahyre, μια πλατφόρμα προσλήψεων με έδρα την Ινδία, και φαίνεται στο Σχήμα 18, μόνο η γραμμή «Καλή γνώση για τον Ameyo» μετακινήθηκε σε διαφορετική θέση στο κείμενο.
Τρεις εικόνες του περιβάλλοντος γραφείου που απεικονίζονται στο Σχήμα 19 αντιγράφηκαν από δύο εταιρείες – οι φωτογραφίες γραφείου και γηπέδου είναι από PaywithRing, μια ινδική εφαρμογή πληρωμών με εκατομμύρια πελάτες και η φωτογραφία της ομάδας είναι από Η καλύτερη Ινδία, μια ινδική πλατφόρμα ψηφιακών μέσων.
Τα μέλη του Διοικητικού Συμβουλίου αντιστοιχούν στα ονόματα που σχετίζονταν με την εταιρεία που ισχυρίζεται ότι βρίσκεται πίσω από αυτή τη συγκεκριμένη εφαρμογή, αλλά οι εικόνες που χρησιμοποιήθηκαν στον ιστότοπο (φαίνεται στο Σχήμα 20) απεικόνιζαν τρία διαφορετικά μοντέλα φωτογραφιών στοκ και ο ιστότοπος δεν ανέφερε ότι αυτές οι εικόνες ήταν ενδεικτικές σκοπούς μόνο.
Αν και είναι εύκολο να κάνετε μια αντίστροφη αναζήτηση εικόνων στο Google για να αναζητήσετε την πηγή αυτών των εικόνων σε ένα πρόγραμμα περιήγησης επιτραπέζιου υπολογιστή, είναι σημαντικό να σημειωθεί ότι αυτό είναι πολύ πιο δύσκολο να το κάνετε σε ένα τηλέφωνο. Όπως σημειώσαμε προηγουμένως, οι πάροχοι αυτών των εφαρμογών επικεντρώνονται μόνο σε πιθανούς δανειολήπτες που θέλουν να χρησιμοποιήσουν ένα κινητό τηλέφωνο για να λάβουν δάνειο.
Νόμιμες έναντι κακόβουλων εφαρμογών δανείου – πώς να τις διακρίνετε
Όπως αναφέρθηκε στην ενότητα Παραπλανητικές τεχνικές επικοινωνίας, ακόμα κι αν η εφαρμογή ή η εταιρεία πίσω από αυτήν λέει ότι είναι εγκεκριμένος πάροχος δανείου, αυτό δεν εγγυάται αυτόματα τη νομιμότητα ή τις ηθικές πρακτικές της – μπορεί να εξαπατήσει πιθανούς πελάτες χρησιμοποιώντας παραπλανητικές τακτικές και παραπλανητικές πληροφορίες σχετικά με τους όρους του δανείου. Όπως αναφέρεται από επιφυλακή, η αίτηση για δάνειο από καθιερωμένα ιδρύματα μπορεί να φαίνεται ότι είναι η καλύτερη συμβουλή για πιθανούς δανειολήπτες, αλλά οι εφαρμογές SpyLoan καθιστούν πραγματικά δύσκολη τη διάκρισή τους από τους τυπικούς χρηματοπιστωτικούς οργανισμούς και ορισμένοι δανειολήπτες δεν έχουν πρόσβαση σε παραδοσιακές χρηματοοικονομικές οντότητες. Επομένως, είναι σημαντικό να προσεγγίζετε τις εφαρμογές δανείου με προσοχή και να λαμβάνετε πρόσθετα μέτρα για να διασφαλίσετε την αξιοπιστία τους, καθώς η εγκατάστασή τους μπορεί να έχει πολύ αρνητικό αντίκτυπο στην οικονομική κατάσταση του δανειολήπτη.
Η προσκόλληση σε επίσημες πηγές και η χρήση μιας εφαρμογής ασφαλείας θα πρέπει να είναι επαρκής για τον εντοπισμό μιας κακόβουλης εφαρμογής δανείου. Ωστόσο, υπάρχουν πρόσθετα βήματα που μπορούν να χρησιμοποιήσουν οι χρήστες για να προστατευτούν:
- Μείνετε σε επίσημες πηγές
Οι χρήστες Android θα πρέπει να αποφεύγουν την εγκατάσταση εφαρμογών δανείου από ανεπίσημες πηγές και καταστήματα εφαρμογών τρίτων και να εμμένουν σε αξιόπιστες πλατφόρμες όπως το Google Play, που εφαρμόζουν διαδικασίες ελέγχου εφαρμογών και μέτρα ασφαλείας. Αν και αυτό δεν εγγυάται πλήρη προστασία, μειώνει τον κίνδυνο να αντιμετωπίσετε εφαρμογές απάτης δανείου. - Χρησιμοποιήστε μια εφαρμογή ασφαλείας
Μια αξιόπιστη εφαρμογή ασφαλείας Android προστατεύει τον χρήστη της από κακόβουλες εφαρμογές δανείου και κακόβουλο λογισμικό. Οι εφαρμογές ασφαλείας παρέχουν ένα πρόσθετο επίπεδο προστασίας σαρώνοντας και εντοπίζοντας δυνητικά επιβλαβείς εφαρμογές, εντοπίζοντας κακόβουλο λογισμικό και προειδοποιώντας τους χρήστες για ύποπτες δραστηριότητες. Οι εφαρμογές κακόβουλου δανείου που αναφέρονται σε αυτήν την ανάρτηση ιστολογίου εντοπίζονται από τα προϊόντα της ESET ως Android/SpyLoan, Android/Spy.KreditSpy ή μια παραλλαγή του Android/Spy.Agent. - Έλεγχος επανεξέτασης
Κατά τη λήψη εφαρμογών από το Google Play, είναι σημαντικό να δίνετε μεγάλη προσοχή στις κριτικές χρηστών (αυτές ενδέχεται να μην είναι διαθέσιμες σε ανεπίσημα καταστήματα). Είναι σημαντικό να γνωρίζετε ότι οι θετικές κριτικές μπορούν να παραποιηθούν ή ακόμα και να εκβιαστούν από προηγούμενα θύματα για να αυξηθεί η αξιοπιστία των εφαρμογών απάτης. Αντίθετα, οι δανειολήπτες θα πρέπει να επικεντρωθούν σε αρνητικές κριτικές και να αξιολογήσουν προσεκτικά τις ανησυχίες που εγείρουν οι χρήστες, καθώς μπορεί να αποκαλύψουν σημαντικές πληροφορίες όπως οι τακτικές εκβιασμού και το πραγματικό κόστος που χρεώνει ο πάροχος δανείου. - Πολιτική απορρήτου και εξέταση πρόσβασης δεδομένων
Πριν από την εγκατάσταση μιας εφαρμογής δανείου, τα άτομα θα πρέπει να αφιερώσουν χρόνο για να διαβάσουν την πολιτική απορρήτου της, εάν είναι διαθέσιμη. Αυτό το έγγραφο περιέχει συχνά πολύτιμες πληροφορίες σχετικά με τον τρόπο με τον οποίο η εφαρμογή έχει πρόσβαση και αποθηκεύει ευαίσθητες πληροφορίες. Ωστόσο, οι απατεώνες ενδέχεται να χρησιμοποιούν παραπλανητικές ρήτρες ή ασαφή γλώσσα για να εξαπατήσουν τους χρήστες να παραχωρήσουν περιττές άδειες ή να μοιραστούν προσωπικά δεδομένα. Κατά την εγκατάσταση, είναι σημαντικό να δίνετε προσοχή στα δεδομένα στα οποία η εφαρμογή ζητά πρόσβαση και να αναρωτιέστε εάν τα ζητούμενα δεδομένα είναι απαραίτητα για τη λειτουργία της εφαρμογής δανείου, όπως επαφές, μηνύματα, φωτογραφίες, αρχεία και συμβάντα ημερολογίου. - Εάν η πρόληψη δεν λειτουργεί
Υπάρχουν διάφοροι τρόποι όπου τα άτομα μπορούν να αναζητήσουν βοήθεια και να αναλάβουν δράση εάν πέσουν θύματα ψηφιακών τοκογλύφων. Τα θύματα θα πρέπει να αναφέρουν το περιστατικό στις αρχές επιβολής του νόμου ή στις αρμόδιες νομικές αρχές της χώρας τους, να επικοινωνήσουν με τις υπηρεσίες προστασίας των καταναλωτών και να ειδοποιήσουν το ίδρυμα που διέπει τους όρους των ιδιωτικών δανείων. στις περισσότερες χώρες, είναι η εθνική τράπεζα ή το ισοδύναμό της. Όσο περισσότερες ειδοποιήσεις λαμβάνουν αυτά τα ιδρύματα, τόσο πιο πιθανό είναι να αναλάβουν δράση. Εάν η δόλια εφαρμογή δανείου αποκτήθηκε μέσω του Google Play, τα άτομα μπορούν να ζητήσουν βοήθεια από την Υποστήριξη του Google Play όπου μπορούν να αναφέρουν την εφαρμογή και να ζητήσουν την αφαίρεση των προσωπικών τους δεδομένων που σχετίζονται με αυτήν. Ωστόσο, είναι σημαντικό να σημειωθεί ότι τα δεδομένα ενδέχεται να έχουν ήδη εξαχθεί στον διακομιστή C&C του εισβολέα.
Συμπέρασμα
Ακόμη και μετά από αρκετές καταργήσεις, οι εφαρμογές SpyLoan συνεχίζουν να βρίσκουν το δρόμο τους στο Google Play και χρησιμεύουν ως σημαντική υπενθύμιση των κινδύνων που αντιμετωπίζουν οι δανειολήπτες όταν αναζητούν χρηματοοικονομικές υπηρεσίες στο διαδίκτυο. Αυτές οι κακόβουλες εφαρμογές εκμεταλλεύονται την εμπιστοσύνη των χρηστών στους νόμιμους παρόχους δανείων, χρησιμοποιώντας εξελιγμένες τεχνικές για να εξαπατήσουν και να κλέψουν ένα πολύ ευρύ φάσμα προσωπικών πληροφοριών.
Είναι σημαντικό για τα άτομα να είναι προσεκτικά, να επικυρώνουν την αυθεντικότητα οποιασδήποτε οικονομικής εφαρμογής ή υπηρεσίας και να βασίζονται σε αξιόπιστες πηγές. Παραμένοντας ενημερωμένοι και σε επαγρύπνηση, οι χρήστες μπορούν να προστατεύονται καλύτερα από το να πέσουν θύματα τέτοιων παραπλανητικών προγραμμάτων.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 |
Όνομα |
Ανίχνευση |
Περιγραφή |
136067AC519C23EF7B9E8EB788D1F5366CCC5045 |
com.aa.kredit.android.apk |
Android/SpyLoan.AN |
Κακόβουλο λογισμικό SpyLoan. |
C0A6755FF0CCA3F13E3C9980D68B77A835B15E89 |
com.amorcash.credito.prestamo.apk |
Android/SpyLoan.BE |
Κακόβουλο λογισμικό SpyLoan. |
0951252E7052AB86208B4F42EB61FC40CA8A6E29 |
com.app.lo.go.apk |
Android/Spy.Agent.CMO |
Κακόβουλο λογισμικό SpyLoan. |
B4B43FD2E15FF54F8954BAC6EA69634701A96B96 |
com.cashwow.cow.eg.apk |
Android/Spy.Agent.EY |
Κακόβουλο λογισμικό SpyLoan. |
D5104BB07965963B1B08731E22F00A5227C82AF5 |
com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk |
Android/Spy.Agent.CLK |
Κακόβουλο λογισμικό SpyLoan. |
F79D612398C1948DDC8C757F9892EFBE3D3F585D |
com.flashloan.wsft.apk |
Android/Spy.Agent.CNB |
Κακόβουλο λογισμικό SpyLoan. |
C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC |
com.guayaba.cash.okredito.mx.tala.apk |
Android/Spy.Agent.CLK |
Κακόβουλο λογισμικό SpyLoan. |
E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534 |
com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk |
Android/SpyLoan.EZ |
Κακόβουλο λογισμικό SpyLoan. |
9C430EBA0E50BD1395BB2E0D9DDED9A789138B46 |
com.mlo.xango.apk |
Android/Spy.Agent.CNA |
Κακόβουλο λογισμικό SpyLoan. |
6DC453125C90E3FA53988288317E303038DB3AC6 |
com.mmp.optima.apk |
Android/Spy.Agent.CQX |
Κακόβουλο λογισμικό SpyLoan. |
532D17F8F78FAB9DB953970E22910D17C14DDC75 |
com.mxolp.postloan.apk |
Android/Spy.KreditSpy.E |
Κακόβουλο λογισμικό SpyLoan. |
720127B1920BA8508D0BBEBEA66C70EF0A4CBC37 |
com.okey.prestamo.apk |
Android/Spy.Agent.CNA |
Κακόβουλο λογισμικό SpyLoan. |
2010B9D4471BC5D38CD98241A0AB1B5B40841D18 |
com.shuiyiwenhua.gl.apk |
Android/Spy.KreditSpy.C |
Κακόβουλο λογισμικό SpyLoan. |
892CF1A5921D34F699691A67292C1C1FB36B45A8 |
com.swefjjghs.weejteop.apk |
Android/SpyLoan.EW |
Κακόβουλο λογισμικό SpyLoan. |
690375AE4B7D5D425A881893D0D34BB63462DBBF |
com.truenaira.cashloan.moneycredit.apk |
Android/SpyLoan.FA |
Κακόβουλο λογισμικό SpyLoan. |
1F01654928FC966334D658244F27215DB00BE097 |
king.credit.ng.apk |
Android/SpyLoan.AH |
Κακόβουλο λογισμικό SpyLoan. |
DF38021A7B0B162FA661DB9D390F038F6DC08F72 |
om.sc.safe.credit.apk |
Android/Spy.Agent.CME |
Κακόβουλο λογισμικό SpyLoan. |
Δίκτυο
IP |
Domain |
Πάροχος φιλοξενίας |
Εμφανίστηκε για πρώτη φορά |
Περιγραφή |
3.109.98[.]108 |
pss.aakredit[.]σε |
Amazon.com, Inc. |
2023-03-27 |
Διακομιστής C&C. |
35.86.179[.]229 |
www.guayabacash[.]com |
Amazon.com, Inc. |
2021-10-17 |
Διακομιστής C&C. |
35.158.118[.]139 |
π.χ.easycredit-app[.]com |
Amazon.com, Inc. |
2022-11-26 |
Διακομιστής C&C. |
43.225.143[.]80 |
αγ.ahymvoxxg[.]com |
HUAWEI CLODS |
2022-05-28 |
Διακομιστής C&C. |
47.56.128[.]251 |
hwpamjvk.whcashph[.]com |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2020-01-22 |
Διακομιστής C&C. |
47.89.159[.]152 |
qt.qtzhreop[.]com |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2022-03-22 |
Διακομιστής C&C. |
47.89.211[.]3 |
ανάπαυση.bhvbhgvh[.]χώρος |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2021-10-26 |
Διακομιστής C&C. |
47.91.110[.]22 |
la6gd.cashwow[.]club |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2022-10-28 |
Διακομιστής C&C. |
47.253.49[.]18 |
mpx.mpxoptim[.]com |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2023-04-24 |
Διακομιστής C&C. |
47.253.175[.]81 |
oy.oyeqctus[.]com |
ALICLOUD-US |
2023-01-27 |
Διακομιστής C&C. |
47.254.33[.]250 |
iu.iuuaufbt[.]com |
Alibaba (ΗΠΑ) Technology Co., Ltd. |
2022-03-01 |
Διακομιστής C&C. |
49.0.193[.]223 |
κκ.softheartlend2[.]com |
IRT-HIPL-SG |
2023-01-28 |
Διακομιστής C&C. |
54.71.70[.]186 |
www.credibusco[.]com |
Amazon.com, Inc. |
2022-03-26 |
Διακομιστής C&C. |
104.21.19[.]69 |
cy.amorcash[.]com |
Cloudflare, Inc. |
2023-01-24 |
Διακομιστής C&C. |
110.238.85[.]186 |
api.yumicash[.]com |
HUAWEI CLODS |
2020-12-17 |
Διακομιστής C&C. |
152.32.140[.]8 |
app.truenaira[.]co |
IRT-UCLOUD-HK |
2021-10-18 |
Διακομιστής C&C. |
172.67.131[.]223 |
apitai.coccash[.]com |
Cloudflare, Inc. |
2021-10-21 |
Διακομιστής C&C. |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 13 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Ανακάλυψη |
Ανακάλυψη λογισμικού |
Το SpyLoan μπορεί να λάβει μια λίστα εγκατεστημένων εφαρμογών. |
|
Ανακάλυψη αρχείων και καταλόγου |
Το SpyLoan παραθέτει τις διαθέσιμες φωτογραφίες σε εξωτερικό χώρο αποθήκευσης και εξάγει πληροφορίες Exif. |
||
Ανακάλυψη διαμόρφωσης δικτύου συστήματος |
Το SpyLoan εξάγει το IMEI, το IMSI, τη διεύθυνση IP, τον αριθμό τηλεφώνου και τη χώρα. |
||
Ανακάλυψη πληροφοριών συστήματος |
Το SpyLoan εξάγει πληροφορίες σχετικά με τη συσκευή, συμπεριλαμβανομένου του σειριακού αριθμού SIM, του αναγνωριστικού συσκευής και κοινών πληροφοριών συστήματος. |
||
Συλλογή |
Παρακολούθηση τοποθεσίας |
Το SpyLoan παρακολουθεί την τοποθεσία της συσκευής. |
|
Προστατευμένα δεδομένα χρήστη: Εγγραφές ημερολογίου |
Το SpyLoan εξάγει συμβάντα ημερολογίου. |
||
Προστατευμένα δεδομένα χρήστη: Μητρώα κλήσεων |
Το SpyLoan εξάγει αρχεία καταγραφής κλήσεων. |
||
Προστατευμένα δεδομένα χρήστη: Λίστα επαφών |
Το SpyLoan εξάγει τη λίστα επαφών. |
||
Προστατευμένα δεδομένα χρήστη: Μηνύματα SMS |
Το SpyLoan εξάγει μηνύματα SMS. |
||
Διοίκησης και Ελέγχου |
Πρωτόκολλο επιπέδου εφαρμογής: Πρωτόκολλα Ιστού |
Το SpyLoan χρησιμοποιεί HTTPS για να επικοινωνεί με τον διακομιστή C&C του. |
|
Κρυπτογραφημένο κανάλι: Συμμετρική κρυπτογραφία |
Το SpyLoan χρησιμοποιεί το AES για να κρυπτογραφήσει την επικοινωνία του. |
||
εκδιήθησης |
Διήθηση πάνω από το κανάλι C2 |
Το SpyLoan εκμεταλλεύεται δεδομένα χρησιμοποιώντας HTTPS. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/