2023년 초부터 ESET 연구원들은 합법적인 개인 대출 서비스로 위장하고 빠르고 쉽게 자금에 접근할 수 있다고 약속하는 사기성 Android 대출 앱이 놀라울 정도로 증가하는 것을 관찰했습니다.

이러한 서비스는 매력적인 외관에도 불구하고 사실 사용자에게 허위 설명이 포함된 고금리 대출을 제공함으로써 사용자를 속이고, 피해자의 개인 정보 및 금융 정보를 수집하여 협박하여 결국 자금을 탈취하도록 설계되었습니다. 따라서 ESET 제품은 대출 청구와 결합된 스파이웨어 기능을 직접적으로 나타내는 검색 이름 SpyLoan을 사용하여 이러한 앱을 인식합니다.

블로그 게시물의 요점:

• ESET 연구진이 분석한 앱은 사용자에게 다양한 민감한 정보를 요청하고 이를 공격자의 서버로 유출합니다.
• 그런 다음 이 데이터는 해당 앱의 사용자를 괴롭히고 협박하는 데 사용되며, 사용자 리뷰에 따르면 대출이 제공되지 않은 경우에도 사용됩니다.
• ESET 원격 분석에 따르면 2023년 초부터 비공식 타사 앱 스토어, Google Play 및 웹사이트에서 이러한 앱이 눈에 띄게 증가한 것으로 나타났습니다.
• 악성 대출 앱은 동남아시아, 아프리카, 라틴 아메리카에 기반을 둔 잠재적 차용인에 초점을 맞춥니다.
• 공격자는 브라우저를 통해 피해자의 스마트폰에 저장된 모든 민감한 사용자 데이터에 접근할 수 없기 때문에 이러한 서비스는 모두 모바일 앱을 통해서만 작동합니다.

살펴보기

ESET은 App Defense Alliance의 회원이자 PHA(잠재적으로 위험한 애플리케이션)를 신속하게 찾아 Google Play에 추가되기 전에 차단하는 것을 목표로 하는 맬웨어 완화 프로그램의 적극적인 파트너입니다.  

이 블로그 게시물에 설명되고 IoC 섹션에 언급된 모든 SpyLoan 앱은 소셜 미디어와 SMS 메시지, 사기 전용 웹사이트 및 타사 앱 스토어에서 다운로드할 수 있습니다. 이 앱은 모두 Google Play에서도 사용할 수 있습니다. Google App Defense Alliance 파트너인 ESET는 18개의 SpyLoan 앱을 식별하여 Google에 보고했으며, Google은 이후 해당 앱 중 17개를 플랫폼에서 제거했습니다. 제거되기 전에 이러한 앱은 Google Play에서 총 12만 건이 넘는 다운로드를 기록했습니다. ESET에서 식별한 마지막 앱은 여전히 ​​Google Play에서 사용할 수 있습니다. 그러나 개발자가 권한과 기능을 변경했기 때문에 더 이상 SpyLoan 앱으로 감지되지 않습니다.

특정 SpyLoan 앱의 모든 인스턴스는 소스에 관계없이 동일한 기본 코드로 인해 동일하게 작동한다는 점에 유의하는 것이 중요합니다. 간단히 말해서, 사용자가 특정 앱을 다운로드하면 앱을 어디서 구했는지에 관계없이 동일한 기능을 경험하고 동일한 위험에 직면하게 됩니다. 의심스러운 웹사이트, 타사 앱 스토어 또는 Google Play에서 다운로드했는지 여부는 중요하지 않습니다. 앱의 동작은 모든 경우에 동일합니다.

이러한 서비스 중 어느 것도 웹사이트를 사용하여 대출을 요청할 수 있는 옵션을 제공하지 않습니다. 왜냐하면 강탈범은 브라우저를 통해 스마트폰에 저장되어 있고 협박에 필요한 모든 민감한 사용자 데이터에 접근할 수 없기 때문입니다.

이 블로그 게시물에서는 SpyLoan 앱의 메커니즘과 이들이 Google Play 정책을 우회하고 사용자를 호도하고 사기 위해 사용하는 다양한 사기 기술을 설명합니다. 또한 피해자가 이러한 사기에 빠졌을 경우 취할 수 있는 조치와 잠재적 대출자가 스스로를 보호할 수 있도록 악성 대출 앱과 합법적인 대출 앱을 구별하는 방법에 대한 몇 가지 권장 사항을 공유합니다.

피해자학

ESET 원격 측정에 따르면 이러한 앱의 시행자는 주로 멕시코, 인도네시아, 태국, 베트남, 인도, 파키스탄, 콜롬비아, 페루, 필리핀, 이집트, 케냐, 나이지리아 및 싱가포르에서 활동합니다(그림 2의 지도 참조). 이들 국가에는 모두 개인 대출에 적용되는 다양한 법률이 있습니다. 즉, 금리뿐만 아니라 커뮤니케이션 투명성도 마찬가지입니다. 그러나 우리는 이것이 얼마나 성공적으로 시행되는지 알지 못합니다. 우리는 이들 국가 이외의 모든 탐지가 다양한 이유로 이들 국가 중 한 곳에 등록된 전화번호에 접근하는 스마트폰과 관련이 있다고 믿습니다.

이 글을 쓰는 시점에는 유럽 국가, 미국 또는 캐나다를 대상으로 하는 활성 캠페인을 본 적이 없습니다.

기술적 분석

초기 액세스

ESET 연구에서는 SpyLoan 사기의 기원을 2020년으로 추적했습니다. 당시 이러한 앱은 연구자의 관심을 끌지 못한 고립된 사례만을 제시했습니다. 그러나 악성 대출 앱의 존재는 계속 증가했고 궁극적으로 Google Play, Apple App Store 및 전용 사기 웹사이트에서 해당 앱을 발견하기 시작했습니다. 그러한 예 중 하나의 스크린샷이 그림 3과 그림 4에 나와 있습니다. 이 다중 플랫폼 접근 방식은 도달 범위를 최대화하고 사용자 참여 가능성을 높였지만 나중에 이러한 앱은 두 공식 앱 스토어에서 모두 삭제되었습니다.

2022년 초 ESET는 Google Play에 연락하여 총 다운로드 수가 20만 건이 넘는 9개 이상의 악성 대출 앱에 대해 플랫폼에 알렸습니다. 우리의 개입 이후 회사는 플랫폼에서 이러한 앱을 삭제했습니다. 보안 회사인 Lookout은 약탈적 행동을 보이는 Google Play의 Android 앱 251개와 Apple App Store의 iOS 앱 35개를 식별했습니다. Lookout에 따르면 그들은 확인된 앱과 관련하여 Google 및 Apple과 접촉했으며 2022년 XNUMX월에 블로그 게시물 이 앱에 대해. Google은 Lookout의 연구 발표에 앞서 이미 대부분의 악성 대출 앱을 식별하고 제거했으며, 식별된 앱 중 15개는 개발자에 의해 Google Play에서 제거되었습니다. Google Play에서 이러한 앱의 다운로드 횟수는 총 XNUMX만 건이 넘었습니다. Apple은 또한 확인된 앱을 삭제했습니다.

ESET 원격 측정에 따르면 SpyLoan 탐지는 2023년 XNUMX월부터 다시 증가하기 시작했으며 그 이후로 비공식 타사 앱 스토어, Google Play 및 웹사이트 전반에 걸쳐 계속해서 증가했습니다. 우리는 이러한 성장을 ESET 위협 보고서 H1 2023.

그들의 2022년 보안 요약, Google은 여러 지역에서 개인 대출 앱에 대한 새로운 요구 사항을 적용하여 Android 및 Google Play 사용자를 안전하게 유지한 방법을 설명했습니다. 기록된 바와 같이 지난 XNUMX년 동안 상황은 발전했으며 Google Play는 인도, 인도네시아, 필리핀, 나이지리아, 케냐, 파키스탄, 태국의 국가별 요구사항에 따라 개인 대출 앱 정책에 여러 가지 변경 사항을 적용했습니다. 다수의 악성 대출 앱이 게시 취소되었습니다.

피해자를 유인하기 위해 가해자는 SMS 메시지와 트위터, 페이스북, 유튜브 등 인기 소셜 미디어 채널을 통해 이러한 악성 앱을 적극적으로 홍보합니다. 사기꾼은 이러한 막대한 사용자 기반을 활용하여 재정 지원이 필요한 순진한 피해자를 유인하는 것을 목표로 합니다.

이 계획은 우리가 분석한 모든 SpyLoan 앱에서 활용되지는 않지만 일부 SpyLoan 앱의 또 다른 놀라운 측면은 합법적인 단체의 이름과 브랜드를 오용하여 평판이 좋은 대출 제공업체와 금융 서비스를 사칭한다는 것입니다. 그림 5에서 볼 수 있듯이 잠재적 피해자의 인식을 높이기 위해 일부 합법적인 금융 서비스에서는 소셜 미디어의 SpyLoan 앱에 대해 경고하기도 했습니다.

툴셋

사용자가 SpyLoan 앱을 설치하면 서비스 약관에 동의하고 장치에 저장된 민감한 데이터에 액세스할 수 있는 광범위한 권한을 부여하라는 메시지가 표시됩니다. 그 후, 앱은 일반적으로 피해자의 전화번호를 확인하기 위해 SMS 일회용 비밀번호 확인을 통해 사용자 등록을 요청합니다.

이러한 등록 양식은 피해자의 전화번호에서 국가 코드를 기반으로 국가 코드를 자동으로 선택하므로 그림 6과 같이 대상 국가에 전화번호가 등록된 개인만 계정을 만들 수 있습니다.

전화번호 확인이 성공적으로 완료되면 사용자는 앱 내에서 대출 신청 기능에 액세스할 수 있습니다. 대출 신청 절차를 완료하려면 사용자는 주소 세부정보, 연락처 정보, 소득 증명서, 은행 계좌 정보를 포함한 광범위한 개인 정보를 제공해야 하며 심지어 신분증 앞면과 뒷면 사진, 셀카 사진을 업로드해야 합니다. , 그림 7에 도시된 바와 같이.

SpyLoan 앱은 의심하지 않는 사용자로부터 광범위한 개인 정보를 은밀하게 추출하여 심각한 위협을 가합니다. 이러한 앱은 민감한 데이터를 명령 및 제어(C&C) 서버로 보낼 수 있습니다. 일반적으로 유출되는 데이터에는 계정 목록, 통화 기록, 캘린더 이벤트, 기기 정보, 설치된 앱 목록, 로컬 Wi-Fi 네트워크 정보, 기기에 있는 파일에 대한 정보(예: Exif 메타데이터 실제로 사진 자체를 보내지 않고 이미지에서). 또한 연락처 목록, 위치 데이터, SMS 메시지도 취약합니다. 가해자는 자신의 활동을 보호하기 위해 훔친 모든 데이터를 C&C 서버로 전송하기 전에 암호화합니다.

SpyLoan 앱이 발전하면서 악성 코드도 더욱 정교해졌습니다. 이전 버전에서는 맬웨어의 유해한 기능이 숨겨지거나 보호되지 않았습니다. 그러나 이후 버전에서는 코드 난독화, 암호화된 문자열, 암호화된 C&C 통신과 같은 몇 가지 고급 기술을 통합하여 악의적인 활동을 숨겼습니다. 이러한 개선 사항에 대한 자세한 내용은 그림 8과 그림 9를 참조하세요.

월 31에^st, 2023, 추가 정책 이미지, 동영상, 연락처, 전화번호, 위치, 외부 저장소 데이터 등 민감한 데이터에 접근하기 위한 권한을 요청하는 것이 금지되어 있다는 내용을 구글 플레이에서 대출 앱에 적용하기 시작했습니다. 이 업데이트된 정책은 그림 10에 설명된 것처럼 정책이 적용되기 시작한 후에도 우리가 보고한 대부분의 정책(광범위한 권한 포함)을 플랫폼에서 계속 사용할 수 있었기 때문에 기존 앱에 즉각적인 영향을 미치지 않은 것으로 보입니다. 그러나 앞서 언급했듯이 Google은 나중에 이러한 앱의 게시를 취소했습니다.

여파

이러한 앱이 설치되고 개인 데이터가 수집된 후, 앱 집행자는 리뷰에 따르면 사용자가 대출을 신청하지 않았거나 신청했지만 대출이 이루어지지 않은 경우에도 피해자를 괴롭히고 협박하기 시작합니다. 승인되지 않았습니다. 이러한 관행은 그림 11(살해 위협까지 언급), 그림 12(일부 기계 번역: 마음의 평화를 누릴 가치가 있는 빚이 있습니까?)에 표시된 것처럼 Facebook 및 Google Play의 이러한 앱 리뷰에 설명되어 있습니다. 사랑하는 사람?... 정말로 자신의 안전을 위험에 빠뜨리고 싶나요?... ​​결과에 대한 대가를 기꺼이 치르겠습니까? 많은 문제에 직면할 수 있고 자신과 주변 사람들에게 나쁜 경험을 피할 수 있습니다.) 및 그림 13 .

데이터 수집 및 협박 외에도 이러한 서비스는 대출에 과도한 이자율을 부과하고 긴급한 재정적 도움이 필요한 취약한 개인 또는 주류 금융에 대한 접근이 제한적인 차용인을 이용하는 것을 의미하는 현대 디지털 고리대금의 형태를 나타냅니다. 기관. 한 사용자는 SpyLoan 앱이 자신을 괴롭혀서가 아니라 대출을 신청한 지 이미 14일이 지났지만 아무 일도 일어나지 않았고 약값이 필요했기 때문에 SpyLoan 앱에 부정적인 리뷰를 남겼습니다(그림 XNUMX 참조).

고리대금업은 일반적으로 너무 비윤리적인 것으로 간주되어 다양한 종교 문헌에서 비난을 받고 있으며 그러한 약탈 행위로부터 차용인을 보호하기 위해 법률로 규제됩니다. 그러나 이자가 합리적인 비율로 설정되고 법적 지침을 따르는 경우 표준 대출 계약은 고리대금으로 간주되지 않는다는 점에 유의하는 것이 중요합니다.

급속한 성장의 이유

SpyLoan 앱의 급속한 성장 뒤에는 몇 가지 이유가 있습니다. 하나는 이러한 앱의 개발자가 기술을 활용하여 간소화되고 사용자 친화적인 금융 서비스를 제공하는 성공적인 핀테크(금융 기술) 서비스에서 영감을 얻었다는 것입니다. 핀테크 앱과 플랫폼은 접근성 측면에서 편의성을 제공함으로써 사람들이 언제 어디서나 스마트폰만으로 다양한 금융 활동을 사용자 친화적으로 수행할 수 있게 함으로써 전통적인 금융 산업을 뒤흔드는 것으로 알려져 있습니다. 대조적으로, SpyLoan 앱이 방해하는 유일한 것은 기술, 금융 기관 및 유사한 단체에 대한 신뢰입니다.

그들의 성장에 대한 또 다른 이유는 다음과 같습니다. Zimperium의 분석 악의적인 행위자가 어떻게 Flutter 프레임워크를 활용하여 악성 대출 앱을 개발했는지 알아보세요. 설레다 Android, iOS, 웹, Windows 등 다양한 플랫폼에서 실행될 수 있는 크로스 플랫폼 애플리케이션을 구축하기 위해 설계된 오픈 소스 소프트웨어 개발 키트(SDK)입니다. Flutter는 2018년 XNUMX월 출시 이후 새로운 모바일 애플리케이션 개발을 촉진하고 시장 출시를 촉진하는 데 중요한 역할을 해왔습니다.

앱 개발자만이 Flutter를 사용하여 앱을 프로그래밍했는지 아니면 그 일부를 프로그래밍했는지 확실하게 확인할 수 있지만, 우리가 Google에 보고한 17개 앱 중 XNUMX개에는 Flutter 관련 라이브러리가 포함되어 있거나 .다트 Flutter의 Dart 프로그래밍 언어를 참조하는 확장 프로그램입니다. 이는 공격자 중 적어도 일부가 악성 앱 개발을 촉진하기 위해 무해한 타사 도구를 사용하고 있음을 나타냅니다.

기만적인 의사소통 기술

악성 대출 앱은 합법적인 대출 앱과 매우 유사한 문구 및 디자인 요소를 사용하는 경우가 많습니다. 이러한 의도적인 유사성으로 인해 일반 사용자는 특히 금융 및 법적 조건이 관련된 경우 앱의 진위 여부를 판단하기가 어렵습니다. 이러한 앱에 의해 배포되는 사기성 통신은 여러 계층으로 나뉩니다.

공식 Google Play 설명

Google Play에 발을 들여놓고 플랫폼에 게시할 수 있도록 우리가 분석한 모든 SpyLoan 앱은 대부분 Google Play 요구 사항에 부합할 뿐만 아니라 현지 법률도 다루는 것으로 보이는 설명을 제공했습니다. 요구; 일부 앱은 등록된 비은행 금융회사라고 주장하기도 했습니다. 그러나 사용자 리뷰 및 기타 보고서에서 알 수 있듯이 이러한 앱 개발자가 수행한 현장 거래 및 비즈니스 관행은 개발자가 명시적으로 명시한 표준을 충족하지 못했습니다.

일반적으로 SpyLoan 앱은 어떤 권한이 요청되는지 공개적으로 명시하고, 올바른 라이센스가 있다고 주장하며, 연간 이자율 범위(항상 현지 고리대금법 또는 유사 법률에서 정한 법적 한도 내에 있음)를 제공합니다. 연간 백분율(APR)은 이자율과 특정 수수료 또는 대출 수수료, 처리 수수료, 기타 금융 수수료 등 대출과 관련된 비용을 설명하고 포함합니다. 많은 국가에서 법적으로 한도가 정해져 있으며, 예를 들어 미국 개인 대출 제공업체의 경우 Google은 APR 한도를 36%로 제한했습니다.

총 연간 비용(TAC 또는 스페인어로 CAT(costo Annual total))은 APR을 초과하며 이자율 및 수수료뿐만 아니라 보험료 또는 대출 관련 추가 비용과 같은 기타 비용도 포함합니다. 따라서 TAC는 모든 관련 비용을 포함하여 대출에 필요한 총 재정적 약속에 대한 보다 정확한 추정치를 차용자에게 제공합니다. 일부 라틴 아메리카 국가에서는 대출 제공업체에 TAC 공개를 요구하기 때문에 이 지역에서 판매된 SpyLoan 앱은 그림 160에 표시된 것처럼 TAC를 사용하여 실제로 높은 340%~15%의 대출 비용을 보여주었습니다.

앱 설명에는 대출 제공업체가 Google의 정책에 따라 설정한 개인 대출 기간도 포함되어 있습니다. 금융 서비스 정책 60일 이하로 설정할 수 없습니다. 대출 기간은 차용인이 빌린 자금과 모든 관련 비용을 대출 기관에 상환할 것으로 예상되는 기간을 나타냅니다. 우리가 분석한 앱의 사용 기간은 91일에서 360일 사이로 설정되었습니다(그림 15 참조). 그러나 Google Play에 피드백을 제공하는 고객(그림 16 참조)은 근무 기간이 상당히 짧고 관심이 높다고 불평했습니다. 그림 16의 피드백에서 세 번째 예시를 보면, 실제 대출금(549페소)보다 이자(450페소)가 높았고, 대출금과 이자(999페소)를 5일 만에 상환했음이 틀림없으며, 따라서 Google의 대출 기간 정책을 위반하는 것입니다.

개인정보보호정책

위임받은 사항이기 때문에 Google Play 개발자 정책, 그리고 이에 맞춰 고객 파악(KYC) 표준, Google Play에 앱을 게시하려는 개발자는 유효하고 쉽게 액세스할 수 있는 개인정보취급방침을 제공해야 합니다. 이 정책은 수집된 데이터 유형, 사용 방법, 공유 대상, 사용자 데이터 보호를 위한 보안 조치, 사용자가 데이터에 대한 권리를 행사할 수 있는 방법 등의 측면을 다루어야 합니다. 이는 데이터 사용 및 보호에 투명성을 요구하는 KYC 지침과 유사합니다. 데이터 수집을 위한 KYC 요구 사항에는 일반적으로 성명, 생년월일, 주소, 연락처 정보, 정부 발급 식별 번호 또는 문서와 같은 개인 정보 수집이 포함됩니다. 금융 서비스 맥락에서 여기에는 고용 상태, 소득원, 신용 기록 및 신용도 평가와 관련된 기타 정보에 대한 데이터 수집이 포함될 수도 있습니다.

개인 정보 보호 정책은 법적 문서임에도 불구하고 매우 쉬운 방법으로 자동 생성될 수 있습니다. 앱 개발자가 앱 이름, 앱 이름 등 기본 데이터를 삽입한 후 이러한 문서를 생성할 수 있는 무료 개인 정보 보호 정책 생성기가 많이 있습니다. 그 뒤에 있는 회사와 앱이 수집하는 데이터입니다. 이는 일반 사람에게 진실해 보이는 개인 정보 보호 정책을 만드는 것이 매우 간단하다는 것을 의미합니다.

KYC 규범과는 완전히 대조적으로, 우리가 확인한 SpyLoan 앱은 개인 정보 보호 정책에 사기적인 전술을 사용했습니다. 그들은 "위험 평가를 수행하기 위해" 미디어 파일에 액세스할 수 있는 권한, "문서 제출을 돕기 위해" 저장 권한, "당신을 적절하게 식별하기 위해" 금융 거래에만 관련되어 있다고 주장하는 SMS 데이터 액세스, "다음을 위해" 캘린더에 액세스할 수 있는 권한이 필요하다고 주장했습니다. 각 결제 날짜 및 해당 알림 예약”, 카메라 권한 “사용자가 필요한 사진 데이터 업로드를 돕기 위해”, 통화 기록 권한 “우리 앱이 귀하의 휴대폰에 설치되었는지 확인하기 위해”. 실제로 KYC 표준에 따르면 훨씬 덜 침해적인 데이터 수집 방법을 사용하여 신원 확인 및 위험 평가를 수행할 수 있습니다. 앞서 말씀드린 바와 같이, 해당 앱의 개인정보취급방침에 따라 해당 권한이 해당 앱에 부여되지 않은 경우 서비스 제공 및 대출이 제공되지 않습니다. 사실 이러한 앱에는 이러한 권한이 모두 필요하지 않습니다. 이 모든 데이터는 전체가 아닌 선택한 사진과 문서에만 액세스할 수 있는 일회성 권한으로 앱에 업로드할 수 있기 때문입니다. 캘린더 요청은 다음과 같습니다. 대출 대상자에게 이메일로 전송되며, 통화기록 접근권한은 전혀 필요하지 않습니다.

일부 개인 정보 보호 정책은 매우 모순적인 방식으로 표현되었습니다. 한편으로는 개인 데이터 수집에 대한 거짓된 이유를 나열한 반면, 다른 한편으로는 그림 17에 설명된 것처럼 민감한 개인 데이터가 수집되지 않는다고 주장했습니다. 이는 데이터 수집 및 정보 수집에 대해 정직하고 투명한 커뮤니케이션을 요구하는 KYC 표준에 위배됩니다. 앞에서 언급한 특정 유형의 데이터를 포함한 사용량.

우리는 이러한 권한의 실제 목적이 이러한 앱 사용자를 염탐하고 이들과 그들의 연락처를 괴롭히고 협박하는 것이라고 믿습니다.

또 다른 개인 정보 보호 정책에 따르면 이집트인에게 대출을 제공하는 앱은 SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI에서 운영하는 것으로 나타났습니다. 이집트 투자 자유 지역 총청에 따르면, 그러한 회사는 이집트에 등록되어 있지 않습니다. 그러나 우리는 그것을 발견했습니다. 수십 개의 불법 PXNUMXP 대출 플랫폼 목록 인도네시아 투자 경고 태스크 포스가 2021년 XNUMX월에 경고한 내용입니다.

결론적으로, 이러한 SpyLoan 앱은 기술적으로 개인 정보 보호 정책 요구 사항을 준수하지만 해당 관행은 금융 서비스를 제공하고 KYC 은행 표준을 준수하는 데 필요한 데이터 수집 범위를 분명히 벗어납니다. KYC 규정에 따라 합법적인 대출 앱은 미디어 파일이나 달력 항목과 같은 관련 없는 데이터에 대한 액세스를 요구하지 않고 신원과 신용도를 확인하는 데 필요한 개인 데이터만 요청합니다. 전반적으로 사용자가 자신의 권리를 이해하고 앱에 부여하는 권한에 주의하는 것이 중요합니다. 여기에는 사기 및 기타 불법 활동으로부터 금융 기관을 보호할 뿐만 아니라 사용자의 개인 데이터 및 금융 거래도 보호하기 위해 고안된 KYC 은행 규정에서 정한 표준을 인식하는 것이 포함됩니다.

웹 사이트

이러한 앱 중 일부에는 고객 중심의 확고한 개인 대출 제공업체라는 착각을 불러일으키는 데 도움이 되는 공식 웹사이트가 있었고, Google Play 링크와 개발자가 Google Play에서 제공한 설명과 유사한 기타 일반적이고 간단한 정보가 포함되어 있었습니다. , 앱이 게시 중단되기 전. 그들은 일반적으로 앱 뒤에 있는 업체의 이름을 밝히지 않았습니다. 그러나 우리가 분석한 여러 웹사이트 중 하나에서는 더 나아가 채용 공고, 편안한 사무실 환경 이미지, 이사회 사진에 대한 세부 정보가 포함되어 있었는데, 이 모든 정보는 다른 웹사이트에서 도용되었습니다.

공석인 직위는 다른 회사에서 복사되었으며 사소한 방식으로만 편집되었습니다. 복사한 것에서 인스타하이레, 인도에 본사를 둔 채용 플랫폼이며 그림 18에 표시된 대로 "Ameyo에 대한 좋은 지식"이라는 줄만 텍스트에서 다른 위치로 이동되었습니다.

그림 19에 표시된 사무실 환경의 세 가지 이미지는 두 회사에서 복사한 것입니다. 사무실 및 운동장 사진은 출처에서 가져왔습니다. PaywithRing, 수백만 명의 고객을 보유한 인도 결제 앱이며 팀 사진은 더 나은 인도, 인도의 디지털 미디어 플랫폼입니다.

이사회 구성원 이름에 해당 이 특정 앱을 배후에 있다고 주장하는 회사와 관련이 있었지만 웹 사이트에 사용된 사진(그림 20 참조)은 세 가지 다른 스톡 사진 모델을 묘사했으며 웹 사이트에서는 이러한 이미지가 설명을 위한 것이라고 명시하지 않았습니다. 목적으로만 사용됩니다.

데스크톱 브라우저에서 이러한 사진의 소스를 찾기 위해 Google에서 역방향 이미지 검색을 수행하는 것은 쉽지만, 휴대폰에서는 이 작업을 수행하는 것이 훨씬 더 어렵다는 점에 유의하는 것이 중요합니다. 이전에 언급한 것처럼 이러한 앱 제공업체는 대출을 받기 위해 휴대폰을 사용하려는 잠재적 차용자에게만 초점을 맞춥니다.

합법적인 대출 앱과 악성 대출 앱 - 구별하는 방법

사기성 의사소통 기술 섹션에서 언급한 바와 같이, 앱이나 그 뒤에 있는 회사가 승인된 대출 제공업체라고 말하더라도 이것이 자동으로 적법성이나 윤리적 관행을 보장하지는 않습니다. 사기성 전술과 오해의 소지가 있는 정보를 사용하여 여전히 잠재 고객을 속일 수 있습니다. 대출조건에 대해 에서 언급했듯이 임무, 기존 기관에 대출을 신청하는 것이 잠재적 대출자에게 가장 좋은 조언인 것처럼 보일 수 있지만 SpyLoan 앱을 사용하면 표준 금융 기관과 구별하기가 정말 어렵고 일부 대출자는 기존 금융 기관에 접근할 수 없습니다. 따라서 대출 앱에 주의 깊게 접근하고 신뢰성을 보장하기 위한 추가 조치를 취하는 것이 중요합니다. 앱 설치는 차용인의 재정 상황에 매우 부정적인 영향을 미칠 수 있기 때문입니다.

공식 출처를 고수하고 보안 앱을 사용하는 것만으로도 악성 대출 앱을 탐지하는 데 충분합니다. 그러나 사용자가 자신을 보호하기 위해 사용할 수 있는 추가 단계가 있습니다.

1. 공식 출처를 고수하세요.
   Android 사용자는 비공식 소스 및 타사 앱 스토어에서 대출 앱을 설치하는 것을 피하고 앱 검토 프로세스 및 보안 조치를 구현하는 Google Play와 같은 신뢰할 수 있는 플랫폼을 사용해야 합니다. 이것이 완벽한 보호를 보장하지는 않지만 사기 대출 앱이 발생할 위험을 줄여줍니다.
2. 보안 앱 사용
   안정적인 Android 보안 앱은 악성 대출 앱과 악성 코드로부터 사용자를 보호합니다. 보안 앱은 잠재적으로 유해한 앱을 검색 및 식별하고, 맬웨어를 탐지하고, 사용자에게 의심스러운 활동에 대해 경고함으로써 추가 보호 계층을 제공합니다. 이 블로그 게시물에 언급된 악성 대출 앱은 ESET 제품에서 Android/SpyLoan, Android/Spy.KreditSpy 또는 Android/Spy.Agent의 변형으로 감지됩니다.
3. 검토 검토
   Google Play에서 앱을 다운로드할 때 사용자 리뷰에 세심한 주의를 기울이는 것이 중요합니다(비공식 스토어에서는 사용하지 못할 수도 있음). 사기 앱의 신뢰도를 높이기 위해 긍정적인 리뷰가 위조되거나 이전 피해자로부터 강탈될 수도 있다는 점을 인식하는 것이 중요합니다. 대신, 차용인은 부정적인 리뷰에 초점을 맞추고 사용자가 제기한 우려 사항을 신중하게 평가해야 합니다. 이러한 우려 사항은 강탈 수법, 대출 제공업체가 청구하는 실제 비용 등 중요한 정보를 드러낼 수 있기 때문입니다.
4. 개인 정보 보호 정책 및 데이터 액세스 검사
   개인은 대출 앱을 설치하기 전에 시간을 내어 개인정보 보호정책이 있는 경우 이를 읽어야 합니다. 이 문서에는 앱이 민감한 정보에 액세스하고 저장하는 방법에 대한 귀중한 정보가 포함되어 있는 경우가 많습니다. 그러나 사기꾼은 기만적인 조항이나 모호한 언어를 사용하여 사용자를 속여 불필요한 권한을 부여하거나 개인 데이터를 공유하도록 할 수 있습니다. 설치하는 동안 앱이 액세스를 요청하는 데이터에 주의를 기울이고 요청된 데이터가 연락처, 메시지, 사진, 파일, 캘린더 이벤트 등 대출 앱의 기능에 필요한지 질문하는 것이 중요합니다.
5. 예방이 효과가 없다면
   개인이 디지털 대출 상어의 피해자가 된 경우 도움을 구하고 조치를 취할 수 있는 여러 가지 방법이 있습니다. 피해자는 해당 사건을 해당 국가의 법 집행 기관이나 관련 법률 당국에 신고하고, 소비자 보호 기관에 연락하고, 개인 대출 조건을 관리하는 기관에 알려야 합니다. 대부분의 국가에서는 국립 은행 또는 이에 준하는 은행입니다. 이러한 기관이 더 많은 경고를 받을수록 조치를 취할 가능성이 높아집니다. 사기성 대출 앱이 Google Play를 통해 획득된 경우 개인은 Google Play 지원팀에 도움을 요청할 수 있으며 여기에서 앱을 신고하고 앱과 관련된 개인 데이터 삭제를 요청할 수 있습니다. 하지만, 해당 데이터가 이미 공격자의 C&C 서버로 추출되었을 수도 있다는 점에 유의하는 것이 중요합니다.

결론

여러 번의 게시 중단 후에도 SpyLoan 앱은 계속해서 Google Play로 진출하고 있으며 온라인에서 금융 서비스를 찾을 때 차용인이 직면하는 위험을 상기시키는 중요한 역할을 합니다. 이러한 악성 애플리케이션은 정교한 기술을 사용하여 사용자가 합법적인 대출 제공업체에 부여한 신뢰를 이용하여 매우 광범위한 개인 정보를 속이고 훔칩니다.

개인은 주의를 기울이고, 금융 앱이나 서비스의 신뢰성을 검증하고, 신뢰할 수 있는 출처에 의존하는 것이 중요합니다. 사용자는 계속해서 정보를 얻고 주의를 기울임으로써 이러한 사기 행위의 피해자가 되는 것을 방지할 수 있습니다.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

파일

네트워크

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 13 MITRE ATT&CK 프레임워크.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/