ESET araştırmacıları, 2023'ün başından bu yana, kendilerini yasal kişisel kredi hizmetleri olarak sunan ve fonlara hızlı ve kolay erişim vaat eden aldatıcı Android kredi uygulamalarında endişe verici bir artış gözlemledi.
Bu hizmetler, çekici görünümlerine rağmen aslında aldatıcı açıklamalarla desteklenen yüksek faizli krediler sunarak kullanıcıları dolandırmak, kurbanlarının kişisel ve mali bilgilerini toplayarak onlara şantaj yapmak ve sonunda paralarını kazanmak için tasarlanmıştır. ESET ürünleri bu nedenle bu uygulamaları, doğrudan kredi talepleriyle birlikte casus yazılım işlevlerine atıfta bulunan SpyLoan algılama adını kullanarak tanır.
Blog gönderisinin önemli noktaları:
- ESET araştırmacıları tarafından analiz edilen uygulamalar, kullanıcılarından çeşitli hassas bilgiler talep ediyor ve bunları saldırganların sunucularına sızdırıyor.
- Bu veriler daha sonra bu uygulamaların kullanıcılarını taciz etmek ve şantaj yapmak için ve kullanıcı incelemelerine göre kredi verilmemiş olsa bile kullanılıyor.
- ESET telemetrisi, 2023'ün başından bu yana resmi olmayan üçüncü taraf uygulama mağazalarında, Google Play'de ve web sitelerinde bu uygulamalarda gözle görülür bir büyüme olduğunu gösteriyor.
- Kötü niyetli kredi uygulamaları Güneydoğu Asya, Afrika ve Latin Amerika'daki potansiyel borçlulara odaklanıyor.
- Saldırganlar, kurbanın akıllı telefonunda depolanan tüm hassas kullanıcı verilerine tarayıcılar aracılığıyla erişemediğinden, tüm bu hizmetler yalnızca mobil uygulamalar aracılığıyla çalışır.
Genel Bakış
ESET, App Defense Alliance'ın bir üyesidir ve Potansiyel Zararlı Uygulamaları (PHA'lar) hızlı bir şekilde bulmayı ve Google Play'e çıkmadan önce onları durdurmayı amaçlayan kötü amaçlı yazılım azaltma programının aktif bir ortağıdır.
Bu blog yazısında açıklanan ve IoC'ler bölümünde bahsedilen tüm SpyLoan uygulamaları sosyal medya aracılığıyla pazarlanmaktadır ve SMS mesajlarıve özel dolandırıcılık web sitelerinden ve üçüncü taraf uygulama mağazalarından indirilebilir. Bu uygulamaların tümü Google Play'de de mevcuttu. Google App Defense Alliance ortağı olarak ESET, 18 SpyLoan uygulamasını belirledi ve bunları Google'a bildirdi. Google, daha sonra bu uygulamalardan 17'sini platformlarından kaldırdı. Kaldırılmadan önce bu uygulamalar Google Play'den toplam 12 milyondan fazla indirildi. ESET tarafından tanımlanan son uygulama hâlâ Google Play'de mevcuttur; ancak geliştiricileri uygulamanın izinlerini ve işlevlerini değiştirdiğinden dolayı artık onu bir SpyLoan uygulaması olarak algılamıyoruz.
Belirli bir SpyLoan uygulamasının her örneğinin, kaynağı ne olursa olsun, aynı temel kod nedeniyle aynı şekilde davrandığını unutmamak önemlidir. Basitçe söylemek gerekirse, kullanıcılar belirli bir uygulamayı indirirse, uygulamayı nereden edindiklerine bakılmaksızın aynı işlevleri deneyimleyecek ve aynı risklerle karşı karşıya kalacaklardır. İndirme işleminin şüpheli bir web sitesinden, üçüncü taraf uygulama mağazasından veya hatta Google Play'den gelmesi fark etmez; uygulamanın davranışı her durumda aynı olacaktır.
Bu hizmetlerin hiçbiri bir web sitesi kullanarak kredi talep etme seçeneği sunmuyor, çünkü şantajcılar bir tarayıcı aracılığıyla akıllı telefonda saklanan ve şantaj için gerekli olan tüm hassas kullanıcı verilerine erişemiyor.
Bu blog yazısında SpyLoan uygulamalarının mekanizmasını ve Google Play politikalarını atlatmak ve kullanıcıları yanıltıp dolandırmak için kullandıkları çeşitli yanıltıcı teknikleri açıklıyoruz. Ayrıca, kurbanların bu dolandırıcılığa kanmaları durumunda atabilecekleri adımları ve potansiyel borçluların kendilerini koruyabilmesi için kötü niyetli ve yasal kredi uygulamaları arasında nasıl ayrım yapılacağına dair birkaç tavsiyeyi de paylaşıyoruz.
kurban seçimi
ESET telemetrisine göre, bu uygulamaların uygulayıcıları çoğunlukla Meksika, Endonezya, Tayland, Vietnam, Hindistan, Pakistan, Kolombiya, Peru, Filipinler, Mısır, Kenya, Nijerya ve Singapur'da faaliyet gösteriyor (Şekil 2'deki haritaya bakın). Tüm bu ülkelerin özel kredileri düzenleyen çeşitli yasaları vardır; yalnızca oranları değil, aynı zamanda iletişim şeffaflığını da; ancak bunların ne kadar başarılı bir şekilde uygulandığını bilmiyoruz. Bu ülkeler dışındaki tespitlerin, çeşitli nedenlerle bu ülkelerden birinde kayıtlı bir telefon numarasına erişimi olan akıllı telefonlarla ilgili olduğuna inanıyoruz.
Bu yazının yazıldığı sırada Avrupa ülkelerini, ABD'yi veya Kanada'yı hedef alan aktif bir kampanya görmemiştik.
Teknik analiz
İlk erişim
ESET Araştırma, SpyLoan planının kökenini 2020 yılına kadar takip etti. O zamanlar bu tür uygulamalar yalnızca araştırmacıların dikkatini çekmeyen münferit vakaları sunuyordu; ancak kötü amaçlı kredi uygulamalarının varlığı artmaya devam etti ve sonuçta bunları Google Play'de, Apple App Store'da ve özel dolandırıcılık web sitelerinde tespit etmeye başladık. Böyle bir örneğin ekran görüntüleri Şekil 3 ve Şekil 4'te gösterilmektedir. Bu çoklu platform yaklaşımı, erişimlerini en üst düzeye çıkardı ve kullanıcı etkileşimi şansını artırdı, ancak bu uygulamalar daha sonra her iki resmi uygulama mağazasından da kaldırıldı.
2022'nin başında ESET, 20 milyondan fazla toplu indirmeye sahip 9'den fazla kötü amaçlı kredi uygulaması hakkında platformu bilgilendirmek için Google Play'e ulaştı. Müdahalemizin ardından şirket bu uygulamaları platformundan sildi. Güvenlik şirketi Lookout, Google Play'de 251 Android uygulamasının ve Apple App Store'da yağmacı davranış sergileyen 35 iOS uygulamasının bulunduğunu tespit etti. Lookout'a göre, tespit edilen uygulamalarla ilgili olarak Google ve Apple ile temas halindeydiler ve Kasım 2022'de bir yayın yayınladılar. Blog yazısı Bu uygulamalar hakkında. Google, Lookout'un araştırma yayınından önce kötü niyetli kredi uygulamalarının çoğunu tespit edip kaldırdı; tespit edilen uygulamalardan ikisi geliştirici tarafından Google Play'den kaldırıldı. Google Play'deki bu uygulamalar toplu olarak 15 milyondan fazla indirildi; Apple ayrıca tespit edilen uygulamaları da kaldırdı.
ESET telemetrisine göre SpyLoan tespitleri Ocak 2023'te yeniden artmaya başladı ve o zamandan bu yana resmi olmayan üçüncü taraf uygulama mağazalarında, Google Play'de ve web sitelerinde daha da fazla büyümeye devam etti; Bu büyümeyi şu şekilde özetledik: ESET Tehdit Raporu 1. Yarı 2023.
Onların içinde 2022 güvenlik özetiGoogle, şirketin çeşitli bölgelerde bireysel kredi uygulamalarına yönelik yeni gereksinimleri uygulamaya koyarak Android ve Google Play kullanıcılarını nasıl güvende tuttuğunu açıkladı. Belgelendiği gibi, son üç yılda durum gelişti ve Google Play, bireysel kredi uygulaması politikalarında Hindistan, Endonezya, Filipinler, Nijerya, Kenya, Pakistan ve Tayland'da ülkeye özel gereksinimler içeren çeşitli değişiklikler yaptı ve birçok kötü niyetli kredi uygulamasını yayından kaldırdı.
Failler, kurbanları cezbetmek için bu kötü amaçlı uygulamaları SMS mesajlarıyla ve Twitter, Facebook ve YouTube gibi popüler sosyal medya kanallarında aktif olarak tanıtıyor. Dolandırıcılar, bu muazzam kullanıcı tabanından yararlanarak, mali yardıma ihtiyacı olan, şüphelenmeyen kurbanların ilgisini çekmeyi amaçlıyor.
Her ne kadar bu plan analiz ettiğimiz her SpyLoan uygulamasında kullanılmasa da, bazı SpyLoan uygulamalarının bir başka endişe verici yönü de meşru kuruluşların adlarını ve markalarını kötüye kullanarak saygın kredi sağlayıcılarının ve finansal hizmetlerin kimliğine bürünmesidir. Potansiyel mağdurlar arasında farkındalığın artırılmasına yardımcı olmak için, bazı yasal finansal hizmetler, Şekil 5'te görülebileceği gibi, sosyal medyadaki SpyLoan uygulamaları hakkında uyarıda bile bulunmuştur.
Araç Seti
Bir kullanıcı bir SpyLoan uygulamasını yükledikten sonra, hizmet şartlarını kabul etmesi ve cihazda depolanan hassas verilere erişim için kapsamlı izinler vermesi istenir. Daha sonra uygulama, kurbanın telefon numarasını doğrulamak için genellikle SMS ile tek seferlik şifre doğrulama yoluyla gerçekleştirilen kullanıcı kaydını talep ediyor.
Bu kayıt formları, mağdurun telefon numarasından ülke kodunu temel alarak ülke kodunu otomatik olarak seçerek, Şekil 6'da görüldüğü gibi yalnızca hedef ülkede kayıtlı telefon numarasına sahip kişilerin hesap oluşturabilmesini sağlar.
Başarılı telefon numarası doğrulamasının ardından kullanıcılar, uygulama içindeki kredi başvuru özelliğine erişim kazanır. Kredi başvuru sürecini tamamlamak için kullanıcılar, adres bilgileri, iletişim bilgileri, gelir belgeleri, banka hesap bilgileri dahil olmak üzere kapsamlı kişisel bilgiler sağlamak ve hatta kimlik kartlarının ön ve arka yüzlerinin fotoğraflarını ve bir selfie yüklemek zorunda kalıyor. Şekil 7'de gösterildiği gibi.
SpyLoan uygulamaları, şüphelenmeyen kullanıcılardan çok çeşitli kişisel bilgileri gizlice çıkararak önemli bir tehdit oluşturur; bu uygulamalar, hassas verileri komuta ve kontrol (C&C) sunucularına gönderme kapasitesine sahiptir. Genellikle sızdırılan veriler; hesapların listesini, arama günlüklerini, takvim etkinliklerini, cihaz bilgilerini, yüklü uygulamaların listelerini, yerel Wi-Fi ağı bilgilerini ve hatta cihazdaki dosyalar hakkındaki bilgileri (örn. Exif meta verileri fotoğrafların kendileri gönderilmeden görüntülerden). Ayrıca kişi listeleri, konum verileri ve SMS mesajları da saldırıya açık. Failler, faaliyetlerini korumak için çalınan tüm verileri C&C sunucusuna iletmeden önce şifreler.
SpyLoan uygulamaları geliştikçe kötü amaçlı kodları da daha karmaşık hale geldi. Önceki sürümlerde, kötü amaçlı yazılımın zararlı işlevleri gizlenmiyor veya korunmuyordu; ancak daha sonraki sürümler, kötü amaçlı faaliyetlerini gizlemek için kod gizleme, şifrelenmiş dizeler ve şifrelenmiş C&C iletişimi gibi bazı daha gelişmiş teknikleri içeriyordu. Bu iyileştirmelerin daha ayrıntılı anlaşılması için Şekil 8 ve Şekil 9'a bakın.
Mayıs 31 günüst, 2023, ek politikalar Bu tür uygulamaların görsel, video, kişiler, telefon numaraları, konum ve harici depolama verileri gibi hassas verilere erişim için izin istemesinin yasak olduğunu belirterek, Google Play'deki kredi uygulamalarına başvuru yapmaya başladı. Bu güncellenen politikanın mevcut uygulamalar üzerinde hemen bir etkisi olmadığı görülüyor, çünkü rapor ettiğimiz uygulamaların çoğu, Şekil 10'da gösterildiği gibi, politika uygulanmaya başladıktan sonra (geniş izinler dahil) platformda hala mevcuttu. Ancak, Bahsettiğimiz gibi Google daha sonra bu uygulamaları yayından kaldırdı.
Sonuç
Böyle bir uygulama yüklendikten ve kişisel veriler toplandıktan sonra uygulamanın uygulayıcıları, incelemelere göre kullanıcı bir krediye başvurmamış veya başvurmuş ancak kredi ödenmemiş olsa bile, kurbanlarını ödeme yapmaları için taciz etmeye ve şantaj yapmaya başlıyor. Onaylandı. Bu tür uygulamalar, Facebook ve Google Play'de bu uygulamaların incelemelerinde anlatılmıştır, Şekil 11'de (hatta ölüm tehditlerinden bahsedilmektedir), Şekil 12'de (kısmi makine çevirisi: Sahip olduğunuz borç, iç rahatlığınıza ve borcunuza değer mi?) sevdikleriniz?… Güvenliğinizi gerçekten riske atmak mı istiyorsunuz?… Sonuçlarına katlanmaya hazır mısınız? Pek çok sorunla karşılaşabilir, kendiniz ve çevrenizdekiler için kötü bir deneyim yaşamaktan kaçınabilirsiniz.) ve Şekil 13 .
Veri toplama ve şantajın yanı sıra, bu hizmetler, kredilere aşırı faiz oranları uygulanması, acil mali ihtiyaçları olan savunmasız bireylerden veya ana akım finansal kaynaklara sınırlı erişimi olan borçlulardan yararlanılması anlamına gelen günümüzün bir tür dijital tefeciliğini sunmaktadır. kurumlar. Bir kullanıcı bir SpyLoan uygulamasına olumsuz bir değerlendirme yaptı (Şekil 14'te gösterilmektedir), kendisini taciz ettiği için değil, krediye başvurduğundan bu yana dört gün geçmiş olmasına rağmen hiçbir şey olmadığı ve ilaç için paraya ihtiyacı olduğu için.
Tefecilik genellikle o kadar etik dışı görülüyor ki, çeşitli dini metinlerde kınanıyor ve borçluları bu tür yağmacı uygulamalardan korumak için yasalarla düzenleniyor. Bununla birlikte, faizin makul bir oranda belirlenmesi ve yasal yönergelere uygun olması durumunda standart bir kredi sözleşmesinin tefecilik olarak kabul edilmediğini belirtmek önemlidir.
Hızlı büyümenin ardındaki nedenler
SpyLoan uygulamalarının hızlı büyümesinin arkasında birkaç neden var. Birincisi, bu uygulamaların geliştiricilerinin, modern ve kullanıcı dostu finansal hizmetler sağlamak için teknolojiden yararlanan başarılı FinTech (finansal teknoloji) hizmetlerinden ilham almasıdır. FinTech uygulama ve platformlarının, erişilebilirlik açısından kolaylık sunarak, insanlara çeşitli finansal faaliyetleri her zaman, her yerde, yalnızca akıllı telefonlarını kullanarak kullanıcı dostu bir şekilde gerçekleştirmelerine olanak tanıyarak geleneksel finans sektörünü değiştirdiği biliniyor. Buna karşılık, SpyLoan uygulamalarının bozduğu tek şey teknolojiye, finansal kurumlara ve benzer kuruluşlara duyulan güvendir.
Büyümelerinin bir başka nedeni de şu şekilde belirtildi: Zimperium'un analizi Kötü niyetli aktörlerin Flutter çerçevesinden nasıl yararlandığını ve bunu kötü amaçlı kredi uygulamaları geliştirmek için nasıl kullandığını anlattık. Çarpıntı Android, iOS, web ve Windows gibi çeşitli platformlarda çalışabilen çapraz platform uygulamaları oluşturmak için tasarlanmış açık kaynaklı bir yazılım geliştirme kitidir (SDK). Aralık 2018'deki lansmanından bu yana Flutter, yeni mobil uygulamaların geliştirilmesini kolaylaştırmada ve bunların pazara sunulmasını sağlamada önemli bir rol oynadı.
Yalnızca uygulama geliştiricileri, uygulamalarını veya bunların bir kısmını programlamak için Flutter'ı kullanıp kullanmadıklarını kesin olarak doğrulayabilirken, Google'a bildirdiğimiz 17 uygulamadan üçü Flutter'a özgü kütüphaneler içeriyor veya .Dart oyunu Flutter'ın Dart programlama diline atıfta bulunan uzantılar. Bu, saldırganlardan en azından bazılarının, kötü amaçlı uygulamalarının geliştirilmesini kolaylaştırmak için zararsız üçüncü taraf araçları kullandığını gösteriyor.
Aldatıcı iletişim teknikleri
Kötü amaçlı kredi uygulamaları genellikle meşru kredi uygulamalarına çok benzeyen ifadeler ve tasarım öğeleri kullanır. Bu kasıtlı benzerlik, özellikle mali ve hukuki koşullar söz konusu olduğunda, tipik kullanıcıların bir uygulamanın orijinalliğini belirlemesini zorlaştırır. Bu uygulamalar tarafından dağıtılan aldatıcı iletişimler birkaç katmana bölünmüştür.
Resmi Google Play açıklaması
Analiz ettiğimiz tüm SpyLoan uygulamaları, Google Play'in kapısına ayak basabilmek ve platformda yayınlanabilmek için çoğunlukla yalnızca Google Play gerekliliklerine uygun değil, aynı zamanda yerel yasal düzenlemeleri de kapsıyor gibi görünen bir açıklama sağladı. talepler; Hatta bazı uygulamaların kayıtlı bankacılık dışı finans şirketleri olduğu iddia edildi. Ancak, bu uygulamaların geliştiricileri tarafından gerçekleştirilen, kullanıcı incelemeleri ve diğer raporlardan da anlaşılacağı üzere, yerinde işlemler ve iş uygulamaları, kendileri tarafından açıkça belirtilen standartları karşılamıyordu.
Genel olarak, SpyLoan uygulamaları hangi izinlerin talep edildiğini açıkça belirtir, doğru lisansa sahip olduklarını iddia eder ve yıllık yüzde oranı aralığını sağlar (bu her zaman yerel tefecilik yasaları veya benzer mevzuat tarafından belirlenen yasal sınır dahilindedir). Yıllık yüzde oranı (APR), faiz oranını ve belirli ücretleri veya kullandırma ücretleri, işlem ücretleri veya diğer finansman ücretleri gibi krediyle ilişkili masrafları açıklar ve içerir. Pek çok ülkede yasal olarak sınırlanmıştır ve örneğin ABD'deki bireysel kredi sağlayıcıları söz konusu olduğunda Google, APR'yi %36 olarak sınırlamıştır.
Toplam yıllık maliyet (TAC; veya CAT - İspanyolca yıllık maliyet toplamı) APR'nin ötesine geçer ve yalnızca faiz oranı ve ücretleri değil aynı zamanda sigorta primleri veya krediyle ilgili ek masraflar gibi diğer maliyetleri de içerir. Bu nedenle TAC, borçlulara, ilgili tüm maliyetler de dahil olmak üzere kredinin gerektirdiği toplam mali taahhüt hakkında daha doğru bir tahmin sağlar. Bazı Latin Amerika ülkeleri, kredi sağlayıcılarının TAC'yi açıklamasını talep ettiğinden, bu bölgede pazarlanan SpyLoan uygulamaları, Şekil 160'te gösterilen %340 ila %15 arasındaki TAC'lerle kredilerinin gerçek yüksek maliyetini ortaya çıkardı.
Uygulama açıklamaları ayrıca, kredi sağlayıcı tarafından Google'ın belirlediği bireysel kredilerin kullanım süresini de içeriyordu. Mali Hizmetler politikası 60 gün veya daha kısa bir süreye ayarlanamaz. Kredi kullanım süresi, borçlunun ödünç alınan fonları ve ilgili tüm maliyetleri borç verene geri ödemesinin beklendiği süreyi temsil eder. Analiz ettiğimiz uygulamaların kullanım süresi 91 ila 360 gün arasında belirlenmişti (bkz. Şekil 15); ancak Google Play'de geri bildirim sağlayan müşteriler (bkz. Şekil 16), görev süresinin önemli ölçüde kısa olduğundan ve ilginin yüksek olduğundan şikayetçi oldu. Şekil 16'daki geri bildirimdeki üçüncü örneğe bakacak olursak, faizin (549 peso) fiili krediden (450 peso) daha yüksek olduğu ve kredinin faiziyle birlikte (999 peso) 5 günde geri ödenmesi gerektiği, dolayısıyla Google'ın kredi kullanım süresi politikalarını ihlal ediyorsunuz.
Gizlilik Politikası
Çünkü onun emri altında Google Play Geliştirici Politikasıve buna uygun olarak Müşterinizi Tanıyın (KYC) standartlarıuygulamalarını Google Play'e yerleştirmek isteyen geliştiricilerin geçerli ve kolay erişilebilir bir gizlilik politikası sunması gerekir. Bu politika, toplanan verilerin türleri, nasıl kullanıldığı, kimlerle paylaşılabileceği, kullanıcı verilerini korumaya yönelik güvenlik önlemleri ve kullanıcıların verilerine ilişkin haklarını nasıl kullanabileceği gibi hususları kapsamalıdır. Bu, veri kullanımı ve korumasında şeffaflık gerektiren KYC yönergelerine benzer. Veri toplamaya yönelik KYC gereklilikleri genellikle tam ad, doğum tarihi, adres, iletişim bilgileri ve devlet tarafından verilen kimlik numarası veya belge gibi kişisel bilgilerin toplanmasını içerir. Finansal hizmetler bağlamında bu aynı zamanda istihdam durumu, gelir kaynağı, kredi geçmişi ve kredi itibarının değerlendirilmesiyle ilgili diğer bilgilere ilişkin verilerin toplanmasını da içerebilir.
Bir gizlilik politikası yasal bir belge olmasına rağmen, çok kolay bir şekilde otomatik olarak oluşturulabilir; uygulama geliştiricisi, uygulamanın adı, adı gibi temel verileri ekledikten sonra böyle bir belge oluşturabilen birçok ücretsiz gizlilik politikası oluşturucu vardır. arkasındaki şirket ve uygulamanın topladığı veriler. Bu, ortalama bir kişiye gerçek görünen bir gizlilik politikası oluşturmanın oldukça basit olduğu anlamına gelir.
KYC normlarının tam tersine, tespit ettiğimiz SpyLoan uygulamaları gizlilik politikalarında aldatıcı taktikler kullanıyordu. Medya dosyalarına erişim için "risk değerlendirmesi yapmak", depolama iznine "belgelerin gönderilmesine yardımcı olmak", yalnızca finansal işlemlerle ilgili olduğunu iddia ettikleri SMS verilerine erişim için "sizi doğru şekilde tanımlamak", takvime erişim için "izin verilmesi" gerektiğini iddia ettiler. ilgili ödeme tarihini ve ilgili hatırlatıcıları planlayın”, kamera izni “kullanıcıların gerekli fotoğraf verilerini yüklemesine yardımcı olmak için” ve arama kaydı izinleri “uygulamamızın kendi telefonunuza yüklendiğini doğrulamak için”. Gerçekte KYC standartlarına göre kimlik doğrulama ve risk değerlendirmesi çok daha az müdahaleci veri toplama yöntemleri kullanılarak yapılabilir. Daha önce de belirttiğimiz gibi bu uygulamaların gizlilik politikaları gereği uygulamaya bu izinler verilmediği takdirde hizmet ve dolayısıyla kredi verilmeyecektir. Gerçek şu ki, bu uygulamaların tüm bu izinlere ihtiyacı yoktur, çünkü tüm bu veriler, hepsine değil, yalnızca seçilen resimlere ve belgelere erişimi olan tek seferlik izinle uygulamaya yüklenebilmektedir. kredi alıcısına e-postayla gönderilir ve arama kayıtlarına erişim izni tamamen gereksizdir.
Bazı gizlilik politikaları son derece çelişkili bir şekilde ifade edildi. Bir yandan kişisel veri toplamanın aldatıcı nedenlerini sıralarken diğer yandan Şekil 17'de gösterildiği gibi hiçbir hassas kişisel verinin toplanmadığını iddia ettiler. Bu, veri toplama konusunda dürüst ve şeffaf iletişim gerektiren KYC standartlarına aykırıdır ve Daha önce bahsedilen belirli veri türleri de dahil olmak üzere kullanım.
Bu izinlerin asıl amacının, bu uygulamaların kullanıcılarını gözetlemek, onları ve bağlantılarını taciz etmek ve şantaj yapmak olduğuna inanıyoruz.
Başka bir gizlilik politikası, Mısırlılara kredi sağlayan uygulamanın SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI tarafından işletildiğini ortaya çıkardı. Mısır Yatırım ve Serbest Bölgeler Genel Müdürlüğü'ne göre Mısır'da böyle bir şirket kayıtlı değil; ancak onu bulduk düzinelerce yasa dışı eşler arası borç verme platformunun listesi Endonezya Yatırım Uyarısı Görev Gücü'nün Ocak 2021'de uyardığı şey.
Sonuç olarak, bu SpyLoan uygulamaları teknik olarak bir gizlilik politikasına sahip olmanın gerekliliklerine uygun olsa da, uygulamaları açıkça finansal hizmetlerin sağlanması ve KYC bankacılık standartlarına uyum için gerekli veri toplama kapsamının ötesine geçmektedir. KYC düzenlemelerine uygun olarak meşru kredi uygulamaları, medya dosyaları veya takvim girişleri gibi ilgisiz verilere erişim talep etmeyecek, yalnızca kimliği ve kredibiliteyi doğrulamak için gerekli kişisel verileri isteyecektir. Genel olarak kullanıcıların haklarını anlaması ve herhangi bir uygulamaya verdikleri izinler konusunda dikkatli olması önemlidir. Bu, yalnızca finansal kurumları dolandırıcılık ve diğer yasa dışı faaliyetlerden korumak için değil, aynı zamanda kullanıcılarının kişisel verilerini ve finansal işlemlerini de korumak için tasarlanan KYC bankacılık düzenlemeleri tarafından belirlenen standartların farkında olmayı içerir.
Web siteleri
Bu uygulamalardan bazılarında yerleşik, müşteri odaklı bir bireysel kredi sağlayıcısı yanılsaması yaratmaya yardımcı olan, Google Play'e bir bağlantı içeren ve geliştiricinin Google Play'de sağladığı açıklamaya benzeyen çoğunlukla genel ve basit diğer bilgileri içeren resmi web siteleri vardı. , uygulama yayından kaldırılmadan önce. Genellikle uygulamanın arkasında yer alan işletmenin adını açıklamazlardı. Ancak incelediğimiz birkaç web sitesinden biri daha da ileri giderek açık iş pozisyonları hakkında ayrıntılar, rahat bir ofis ortamı görüntüleri ve Yönetim Kurulu'nun fotoğraflarını içeriyordu; bunların tümü diğer web sitelerinden çalınmıştı.
Açık iş pozisyonları diğer şirketlerden kopyalandı ve yalnızca küçük şekillerde düzenlendi. Kopyalanan birinde InstagramHindistan merkezli bir işe alma platformu olan ve Şekil 18'de gösterilen, yalnızca "Ameyo hakkında iyi bilgi" satırı metinde farklı bir konuma taşınmıştır.
Şekil 19'da gösterilen ofis ortamının üç görüntüsü iki şirketten kopyalanmıştır; ofis ve oyun alanı fotoğrafları Yüzükle ÖdeMilyonlarca müşterisi olan Hintli bir ödeme uygulaması ve ekip fotoğrafı şu adresten: Daha İyi Hindistan, Hintli bir dijital medya platformu.
Yönetim Kurulu üyeleri isimlere karşılık geliyor bu uygulamanın arkasında olduğunu iddia eden şirketle ilgiliydi ancak web sitesinde kullanılan resimler (Şekil 20'de gösterilmektedir) üç farklı stok fotoğraf modelini tasvir ediyordu ve web sitesi bu resimlerin açıklama amaçlı olduğunu belirtmemişti sadece amaçlar.
Bu resimlerin kaynağını masaüstü tarayıcıda aramak için Google'da ters görsel araması yapmak kolay olsa da, bunu telefonda yapmanın çok daha zor olduğunu unutmamak gerekir. Daha önce de belirttiğimiz gibi, bu uygulamaların sağlayıcıları yalnızca kredi almak için cep telefonu kullanmak isteyen potansiyel borçlulara odaklanıyor.
Meşru ve kötü niyetli kredi uygulamaları – aralarında nasıl ayrım yapılır?
Aldatıcı iletişim teknikleri bölümünde belirtildiği gibi, uygulama veya arkasındaki şirket onaylı bir kredi sağlayıcısı olduğunu söylese bile, bu otomatik olarak uygulamanın meşruiyetini veya etik uygulamalarını garanti etmez; yine de aldatıcı taktikler ve yanıltıcı bilgiler kullanarak potansiyel müşterileri kandırabilir Kredi koşulları hakkında. Bahsedildiği gibi gözcü, yerleşik kurumlardan kredi başvurusunda bulunmak potansiyel borçlular için en iyi tavsiye gibi görünebilir, ancak SpyLoan uygulamaları onları standart finansal kuruluşlardan ayırmayı gerçekten zorlaştırıyor ve bazı borçluların geleneksel finansal kuruluşlara erişimi yok. Bu nedenle, kredi uygulamalarına dikkatli yaklaşmak ve bunların güvenilirliğini sağlamak için ek adımlar atmak önemlidir; çünkü bunların kurulumu, borçlunun mali durumu üzerinde çok olumsuz bir etkiye sahip olabilir.
Kötü niyetli bir kredi uygulamasını tespit etmek için resmi kaynaklara bağlı kalmak ve bir güvenlik uygulaması kullanmak yeterli olacaktır; ancak kullanıcıların kendilerini korumak için uygulayabilecekleri ek adımlar vardır:
- Resmi kaynaklara sadık kalın
Android kullanıcıları, resmi olmayan kaynaklardan ve üçüncü taraf uygulama mağazalarından kredi uygulamaları yüklemekten kaçınmalı ve uygulama inceleme süreçlerini ve güvenlik önlemlerini uygulayan Google Play gibi güvenilir platformlara bağlı kalmalıdır. Bu, tam korumayı garanti etmese de, dolandırıcı kredi uygulamalarıyla karşılaşma riskini azaltır. - Bir güvenlik uygulaması kullanın
Güvenilir bir Android güvenlik uygulaması, kullanıcısını kötü amaçlı kredi uygulamalarından ve kötü amaçlı yazılımlardan korur. Güvenlik uygulamaları, potansiyel olarak zararlı uygulamaları tarayıp belirleyerek, kötü amaçlı yazılımları tespit ederek ve kullanıcıları şüpheli etkinlikler konusunda uyararak ek bir koruma katmanı sağlar. Bu blog yazısında bahsedilen kötü amaçlı kredi uygulamaları, ESET ürünleri tarafından Android/SpyLoan, Android/Spy.KreditSpy veya Android/Spy.Agent'ın bir çeşidi olarak algılanır. - İncelemeyi inceleyin
Google Play'den uygulama indirirken kullanıcı incelemelerine çok dikkat etmek önemlidir (bunlar resmi olmayan mağazalarda mevcut olmayabilir). Dolandırıcılık uygulamalarının güvenilirliğini artırmak için olumlu yorumların sahte olabileceğinin ve hatta önceki kurbanlardan zorla alınabileceğinin farkında olmak çok önemlidir. Bunun yerine, borçlular olumsuz incelemelere odaklanmalı ve kullanıcılar tarafından dile getirilen endişeleri dikkatle değerlendirmelidir; çünkü bu endişeler, şantaj taktikleri ve kredi sağlayıcı tarafından tahsil edilen gerçek maliyet gibi önemli bilgileri açığa çıkarabilir. - Gizlilik politikası ve veri erişimi incelemesi
Bir kredi uygulamasını yüklemeden önce bireyler, eğer mevcutsa, gizlilik politikasını okumaya zaman ayırmalıdır. Bu belge genellikle uygulamanın hassas bilgilere nasıl eriştiği ve bunları sakladığı hakkında değerli bilgiler içerir. Ancak dolandırıcılar, kullanıcıları gereksiz izinler vermeleri veya kişisel verileri paylaşmaları yönünde kandırmak için aldatıcı maddeler veya belirsiz bir dil kullanabilir. Kurulum sırasında uygulamanın erişim istediği verilere dikkat etmek ve talep edilen verilerin kişiler, mesajlar, fotoğraflar, dosyalar ve takvim etkinlikleri gibi kredi uygulamasının işlevselliği için gerekli olup olmadığını sorgulamak önemlidir. - Önleme işe yaramazsa
Bireylerin dijital tefecilerin kurbanı olmaları durumunda yardım isteyebilecekleri ve harekete geçebilecekleri çeşitli yollar vardır. Mağdurlar, olayı ülkelerinin kolluk kuvvetlerine veya ilgili yasal makamlarına bildirmeli, tüketiciyi koruma kurumlarıyla iletişime geçmeli ve özel kredilerin koşullarını düzenleyen kurumu uyarmalıdır; çoğu ülkede ulusal banka veya eşdeğeridir. Bu kurumlar ne kadar çok uyarı alırsa harekete geçme olasılıkları da o kadar yüksek olur. Hileli kredi uygulaması Google Play üzerinden alınmışsa bireyler, uygulamayı bildirebilecekleri ve uygulamayla ilişkili kişisel verilerinin kaldırılmasını talep edebilecekleri Google Play Destek'ten yardım isteyebilirler. Ancak verilerin saldırganın C&C sunucusuna zaten alınmış olabileceğini unutmamak önemlidir.
Sonuç
Birkaç kez kaldırıldıktan sonra bile SpyLoan uygulamaları Google Play'de yolunu bulmaya devam ediyor ve borçluların çevrimiçi finansal hizmet ararken karşılaştıkları risklere dair önemli bir hatırlatma görevi görüyor. Bu kötü amaçlı uygulamalar, çok çeşitli kişisel bilgileri aldatmak ve çalmak için karmaşık teknikler kullanarak, kullanıcıların meşru kredi sağlayıcılara duyduğu güveni istismar ediyor.
Bireylerin dikkatli davranması, herhangi bir finansal uygulamanın veya hizmetin orijinalliğini doğrulaması ve güvenilir kaynaklara güvenmesi çok önemlidir. Kullanıcılar bilgili ve uyanık kalarak kendilerini bu tür aldatıcı planların kurbanı olmaktan daha iyi koruyabilirler.
WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 |
Dosya adı |
Bulma |
Açıklama |
136067AC519C23EF7B9E8EB788D1F5366CCC5045 |
com.aa.kredit.android.apk |
Android/SpyLoan.AN |
SpyLoan kötü amaçlı yazılımı. |
C0A6755FF0CCA3F13E3C9980D68B77A835B15E89 |
com.amorcash.credito.prestamo.apk |
Android/SpyLoan.BE |
SpyLoan kötü amaçlı yazılımı. |
0951252E7052AB86208B4F42EB61FC40CA8A6E29 |
com.app.lo.go.apk |
Android/Spy.Agent.CMO |
SpyLoan kötü amaçlı yazılımı. |
B4B43FD2E15FF54F8954BAC6EA69634701A96B96 |
com.cashwow.cow.eg.apk |
Android/Spy.Agent.EY |
SpyLoan kötü amaçlı yazılımı. |
D5104BB07965963B1B08731E22F00A5227C82AF5 |
com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk |
Android/Spy.Agent.CLK |
SpyLoan kötü amaçlı yazılımı. |
F79D612398C1948DDC8C757F9892EFBE3D3F585D |
com.flashloan.wsft.apk |
Android/Spy.Agent.CNB |
SpyLoan kötü amaçlı yazılımı. |
C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC |
com.guayaba.cash.okredito.mx.tala.apk |
Android/Spy.Agent.CLK |
SpyLoan kötü amaçlı yazılımı. |
E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534 |
com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk |
Android/SpyLoan.EZ |
SpyLoan kötü amaçlı yazılımı. |
9C430EBA0E50BD1395BB2E0D9DDED9A789138B46 |
com.mlo.xango.apk |
Android/Spy.Agent.CNA |
SpyLoan kötü amaçlı yazılımı. |
6DC453125C90E3FA53988288317E303038DB3AC6 |
com.mmp.optima.apk |
Android/Spy.Agent.CQX |
SpyLoan kötü amaçlı yazılımı. |
532D17F8F78FAB9DB953970E22910D17C14DDC75 |
com.mxolp.postloan.apk |
Android/Spy.KreditSpy.E |
SpyLoan kötü amaçlı yazılımı. |
720127B1920BA8508D0BBEBEA66C70EF0A4CBC37 |
com.okey.prestamo.apk |
Android/Spy.Agent.CNA |
SpyLoan kötü amaçlı yazılımı. |
2010B9D4471BC5D38CD98241A0AB1B5B40841D18 |
com.shuiyiwenhua.gl.apk |
Android/Spy.KreditSpy.C |
SpyLoan kötü amaçlı yazılımı. |
892CF1A5921D34F699691A67292C1C1FB36B45A8 |
com.swefjjghs.weejteop.apk |
Android/SpyLoan.EW |
SpyLoan kötü amaçlı yazılımı. |
690375AE4B7D5D425A881893D0D34BB63462DBBF |
com.truenaira.cashloan.moneycredit.apk |
Android/SpyLoan.FA |
SpyLoan kötü amaçlı yazılımı. |
1F01654928FC966334D658244F27215DB00BE097 |
king.credit.ng.apk |
Android/SpyLoan.AH |
SpyLoan kötü amaçlı yazılımı. |
DF38021A7B0B162FA661DB9D390F038F6DC08F72 |
om.sc.safe.credit.apk |
Android/Spy.Agent.CME |
SpyLoan kötü amaçlı yazılımı. |
ağ
IP |
domain |
Barındırma sağlayıcısı |
İlk görüş |
- Detaylar |
3.109.98[.]108 |
pss.aakredit[.]in |
Amazon.com, Inc. |
2023-03-27 |
C&C sunucusu. |
35.86.179[.]229 |
www.guayabacash[.]com |
Amazon.com, Inc. |
2021-10-17 |
C&C sunucusu. |
35.158.118[.]139 |
örneğin. easycredit-app[.]com |
Amazon.com, Inc. |
2022-11-26 |
C&C sunucusu. |
43.225.143[.]80 |
ag.ahymvoxxg[.]com |
HUAWEI BULUTLARI |
2022-05-28 |
C&C sunucusu. |
47.56.128[.]251 |
hwpamjvk.whcashph[.]com |
Alibaba (ABD) Technology Co., Ltd. |
2020-01-22 |
C&C sunucusu. |
47.89.159[.]152 |
qt.qtzhreop[.]com |
Alibaba (ABD) Technology Co., Ltd. |
2022-03-22 |
C&C sunucusu. |
47.89.211[.]3 |
dinlenme.bhvbhgvh[.]boşluk |
Alibaba (ABD) Technology Co., Ltd. |
2021-10-26 |
C&C sunucusu. |
47.91.110[.]22 |
la6gd.cashwow[.]kulüp |
Alibaba (ABD) Technology Co., Ltd. |
2022-10-28 |
C&C sunucusu. |
47.253.49[.]18 |
mpx.mpxoptim[.]com |
Alibaba (ABD) Technology Co., Ltd. |
2023-04-24 |
C&C sunucusu. |
47.253.175[.]81 |
oy.oyeqctus[.]com |
ALICLOUD-ABD |
2023-01-27 |
C&C sunucusu. |
47.254.33[.]250 |
iu.iuuaufbt[.]com |
Alibaba (ABD) Technology Co., Ltd. |
2022-03-01 |
C&C sunucusu. |
49.0.193[.]223 |
kk.softheartlend2[.]com |
IRT-HIPL-SG |
2023-01-28 |
C&C sunucusu. |
54.71.70[.]186 |
www.credibusco[.]com |
Amazon.com, Inc. |
2022-03-26 |
C&C sunucusu. |
104.21.19[.]69 |
cy.amorcash[.]com |
Cloudflare, Inc. |
2023-01-24 |
C&C sunucusu. |
110.238.85[.]186 |
api.yumicash[.]com |
HUAWEI BULUTLARI |
2020-12-17 |
C&C sunucusu. |
152.32.140[.]8 |
app.truenaira[.]co |
IRT-UCLOUD-HK |
2021-10-18 |
C&C sunucusu. |
172.67.131[.]223 |
apitai.coccash[.]com |
Cloudflare, Inc. |
2021-10-21 |
C&C sunucusu. |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 13 MITRE ATT&CK çerçevesinin
taktik |
ID |
Name |
Açıklama |
Keşif |
Yazılım Keşfi |
SpyLoan yüklü uygulamaların bir listesini alabilir. |
|
Dosya ve Dizin Bulma |
SpyLoan harici depolamadaki mevcut fotoğrafları listeler ve Exif bilgilerini çıkarır. |
||
Sistem Ağı Yapılandırma Keşfi |
SpyLoan IMEI, IMSI, IP adresini, telefon numarasını ve ülkeyi çıkarır. |
||
Sistem Bilgisi Keşfi |
SpyLoan, SIM seri numarası, cihaz kimliği ve ortak sistem bilgileri dahil olmak üzere cihaz hakkındaki bilgileri çıkarır. |
||
Koleksiyon |
Konum İzleme |
SpyLoan cihazın konumunu izler. |
|
Korunan Kullanıcı Verileri: Takvim Girişleri |
SpyLoan takvim etkinliklerini çıkarır. |
||
Korumalı Kullanıcı Verileri: Çağrı Günlükleri |
SpyLoan arama kayıtlarını çıkarır. |
||
Korunan Kullanıcı Verileri: Kişi Listesi |
SpyLoan kişi listesini çıkarır. |
||
Korunan Kullanıcı Verileri: SMS Mesajları |
SpyLoan SMS mesajlarını çıkarır. |
||
Komuta ve kontrol |
Uygulama Katmanı Protokolü: Web Protokolleri |
SpyLoan, C&C sunucusuyla iletişim kurmak için HTTPS'yi kullanır. |
|
Şifreli Kanal: Simetrik Şifreleme |
SpyLoan iletişimini şifrelemek için AES'i kullanır. |
||
dumping |
C2 Kanalı Üzerinden Sızma |
SpyLoan, HTTPS kullanarak verileri sızdırır. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/