Kể từ đầu năm 2023, các nhà nghiên cứu của ESET đã quan sát thấy sự gia tăng đáng báo động của các ứng dụng cho vay lừa đảo trên Android, những ứng dụng này tự nhận là dịch vụ cho vay cá nhân hợp pháp, hứa hẹn khả năng tiếp cận vốn nhanh chóng và dễ dàng.

Mặc dù có vẻ ngoài hấp dẫn nhưng trên thực tế, các dịch vụ này được thiết kế để lừa gạt người dùng bằng cách cung cấp cho họ các khoản vay lãi suất cao được xác nhận bằng các mô tả lừa đảo, đồng thời thu thập thông tin cá nhân và tài chính của nạn nhân để tống tiền họ và cuối cùng lấy được tiền của họ. Do đó, các sản phẩm ESET nhận dạng các ứng dụng này bằng cách sử dụng tên phát hiện SpyLoan, tên này đề cập trực tiếp đến chức năng phần mềm gián điệp kết hợp với các yêu cầu cho vay.

Các điểm chính của blogpost:

• Các ứng dụng được các nhà nghiên cứu ESET phân tích yêu cầu nhiều thông tin nhạy cảm khác nhau từ người dùng của họ và truyền thông tin đó đến máy chủ của kẻ tấn công.
• Dữ liệu này sau đó được sử dụng để quấy rối và tống tiền người dùng các ứng dụng này và theo đánh giá của người dùng, ngay cả khi khoản vay không được cung cấp.
• Phép đo từ xa của ESET cho thấy sự tăng trưởng rõ rệt của các ứng dụng này trên các cửa hàng ứng dụng không chính thức của bên thứ ba, Google Play và các trang web kể từ đầu năm 2023.
• Các ứng dụng cho vay độc hại tập trung vào những người vay tiềm năng ở Đông Nam Á, Châu Phi và Châu Mỹ Latinh.
• Tất cả các dịch vụ này chỉ hoạt động thông qua ứng dụng di động, vì kẻ tấn công không thể truy cập tất cả dữ liệu nhạy cảm của người dùng được lưu trữ trên điện thoại thông minh của nạn nhân thông qua trình duyệt.

Giới thiệu chung

ESET là thành viên của Liên minh bảo vệ ứng dụng và là đối tác tích cực trong chương trình giảm thiểu phần mềm độc hại, nhằm mục đích nhanh chóng tìm ra các Ứng dụng có khả năng gây hại (PHA) và ngăn chặn chúng trước khi chúng xuất hiện trên Google Play.  

Tất cả các ứng dụng SpyLoan được mô tả trong bài đăng blog này và được đề cập trong phần IoC đều được tiếp thị thông qua mạng xã hội và Tin nhắn SMSvà có sẵn để tải xuống từ các trang web lừa đảo chuyên dụng và cửa hàng ứng dụng của bên thứ ba. Tất cả các ứng dụng này cũng có sẵn trên Google Play. Với tư cách là đối tác của Liên minh phòng thủ ứng dụng Google, ESET đã xác định được 18 ứng dụng SpyLoan và báo cáo chúng với Google. Google sau đó đã xóa 17 ứng dụng trong số này khỏi nền tảng của họ. Trước khi bị xóa, những ứng dụng này đã có tổng cộng hơn 12 triệu lượt tải xuống từ Google Play. Ứng dụng cuối cùng được ESET xác định vẫn có sẵn trên Google Play – tuy nhiên, do các nhà phát triển ứng dụng đã thay đổi quyền và chức năng nên chúng tôi không còn phát hiện ứng dụng này là ứng dụng SpyLoan nữa.

Điều quan trọng cần lưu ý là mọi phiên bản của một ứng dụng SpyLoan cụ thể, bất kể nguồn của nó, đều hoạt động giống hệt nhau do mã cơ bản giống hệt nhau. Nói một cách đơn giản, nếu người dùng tải xuống một ứng dụng cụ thể, họ sẽ trải nghiệm các chức năng giống nhau và đối mặt với những rủi ro giống nhau, bất kể họ tải ứng dụng đó ở đâu. Việc tải xuống đến từ một trang web đáng ngờ, cửa hàng ứng dụng của bên thứ ba hay thậm chí là Google Play không thành vấn đề – hành vi của ứng dụng sẽ giống nhau trong mọi trường hợp.

Không có dịch vụ nào trong số này cung cấp tùy chọn yêu cầu khoản vay bằng cách sử dụng trang web, vì thông qua trình duyệt, những kẻ tống tiền không thể truy cập tất cả dữ liệu nhạy cảm của người dùng được lưu trữ trên điện thoại thông minh và cần thiết để tống tiền.

Trong bài đăng trên blog này, chúng tôi mô tả cơ chế của ứng dụng SpyLoan cũng như các kỹ thuật lừa đảo khác nhau mà chúng sử dụng để vượt qua các chính sách của Google Play cũng như đánh lừa và lừa gạt người dùng. Chúng tôi cũng chia sẻ các bước mà nạn nhân có thể thực hiện nếu họ rơi vào trò lừa đảo này và một số khuyến nghị về cách phân biệt giữa các ứng dụng cho vay độc hại và hợp pháp để những người vay tiềm năng có thể tự bảo vệ mình.

Nạn nhân

Theo phép đo từ xa của ESET, những người thực thi các ứng dụng này hoạt động chủ yếu ở Mexico, Indonesia, Thái Lan, Việt Nam, Ấn Độ, Pakistan, Colombia, Peru, Philippines, Ai Cập, Kenya, Nigeria và Singapore (xem bản đồ trong Hình 2). Tất cả các quốc gia này đều có nhiều luật khác nhau quản lý các khoản vay tư nhân - không chỉ về lãi suất mà còn về tính minh bạch trong giao tiếp; tuy nhiên, chúng tôi không biết chúng được thực thi thành công như thế nào. Chúng tôi tin rằng bất kỳ phát hiện nào bên ngoài các quốc gia này đều liên quan đến điện thoại thông minh, vì nhiều lý do khác nhau, có quyền truy cập vào số điện thoại đã đăng ký tại một trong những quốc gia này.

Tại thời điểm viết bài, chúng tôi chưa thấy chiến dịch nào đang hoạt động nhắm mục tiêu đến các nước Châu Âu, Hoa Kỳ hoặc Canada.

Phân tích kỹ thuật

Quyền truy cập ban đầu

ESET Research đã truy tìm nguồn gốc của chương trình SpyLoan từ năm 2020. Vào thời điểm đó, những ứng dụng như vậy chỉ đưa ra những trường hợp riêng lẻ không thu hút được sự chú ý của các nhà nghiên cứu; tuy nhiên, sự hiện diện của các ứng dụng cho vay độc hại ngày càng gia tăng và cuối cùng, chúng tôi bắt đầu phát hiện ra chúng trên Google Play, Apple App Store và trên các trang web lừa đảo chuyên dụng. Ảnh chụp màn hình của một ví dụ như vậy được hiển thị trong Hình 3 và Hình 4. Cách tiếp cận đa nền tảng này đã tối đa hóa phạm vi tiếp cận của họ và tăng cơ hội tương tác với người dùng, mặc dù những ứng dụng này sau đó đã bị gỡ xuống khỏi cả hai cửa hàng ứng dụng chính thức.

Vào đầu năm 2022, ESET đã liên hệ với Google Play để thông báo cho nền tảng này về hơn 20 ứng dụng cho vay độc hại có tổng cộng hơn 9 triệu lượt tải xuống. Sau sự can thiệp của chúng tôi, công ty đã xóa các ứng dụng này khỏi nền tảng của mình. Công ty bảo mật Lookout đã xác định 251 ứng dụng Android trên Google Play và 35 ứng dụng iOS trên Apple App Store có hành vi lợi dụng. Theo Lookout, họ đã liên hệ với Google và Apple về các ứng dụng được xác định và vào tháng 2022 năm XNUMX đã xuất bản một báo cáo bài viết trên blog về những ứng dụng này. Google đã xác định và gỡ bỏ phần lớn các ứng dụng cho vay độc hại trước khi Lookout xuất bản nghiên cứu, với hai trong số các ứng dụng được xác định đã bị nhà phát triển xóa khỏi Google Play. Tổng cộng các ứng dụng này trên Google Play đã có hơn 15 triệu lượt tải xuống; Apple cũng đã gỡ bỏ các ứng dụng được xác định.

Theo phép đo từ xa của ESET, số lượt phát hiện SpyLoan bắt đầu tăng trở lại vào tháng 2023 năm XNUMX và tiếp tục phát triển kể từ đó thậm chí còn nhiều hơn trên các cửa hàng ứng dụng không chính thức của bên thứ ba, Google Play và các trang web; chúng tôi đã phác thảo sự tăng trưởng này trong Báo cáo Mối đe dọa ESET H1 2023.

Trong Tóm tắt bảo mật năm 2022, Google đã mô tả cách công ty giữ an toàn cho người dùng Android và Google Play bằng cách đưa ra các yêu cầu mới đối với các ứng dụng cho vay cá nhân ở một số khu vực. Như được ghi lại, trong ba năm qua, tình hình đã phát triển và Google Play đã thực hiện một số thay đổi đối với chính sách ứng dụng cho vay cá nhân – với các yêu cầu cụ thể theo từng quốc gia ở Ấn Độ, Indonesia, Philippines, Nigeria, Kenya, Pakistan và Thái Lan – và đã có chưa xuất bản nhiều ứng dụng cho vay độc hại.

Để dụ nạn nhân, thủ phạm tích cực quảng bá các ứng dụng độc hại này bằng tin nhắn SMS và trên các kênh mạng xã hội phổ biến như Twitter, Facebook và YouTube. Bằng cách tận dụng cơ sở người dùng khổng lồ này, những kẻ lừa đảo nhằm mục đích thu hút những nạn nhân không nghi ngờ gì đang cần hỗ trợ tài chính.

Mặc dù kế hoạch này không được sử dụng trong mọi ứng dụng SpyLoan mà chúng tôi đã phân tích, nhưng một khía cạnh đáng báo động khác của một số ứng dụng SpyLoan là việc mạo danh các nhà cung cấp khoản vay và dịch vụ tài chính có uy tín bằng cách sử dụng sai tên và thương hiệu của các tổ chức hợp pháp. Để giúp nâng cao nhận thức của các nạn nhân tiềm năng, một số dịch vụ tài chính hợp pháp thậm chí còn cảnh báo về ứng dụng SpyLoan trên mạng xã hội, như có thể thấy trong Hình 5.

Bộ công cụ

Sau khi người dùng cài đặt ứng dụng SpyLoan, họ sẽ được nhắc chấp nhận các điều khoản dịch vụ và cấp nhiều quyền truy cập vào dữ liệu nhạy cảm được lưu trữ trên thiết bị. Sau đó, ứng dụng yêu cầu đăng ký người dùng, thường được thực hiện thông qua xác minh mật khẩu một lần qua SMS để xác thực số điện thoại của nạn nhân.

Các biểu mẫu đăng ký này tự động chọn mã quốc gia dựa trên mã quốc gia từ số điện thoại của nạn nhân, đảm bảo rằng chỉ những cá nhân có số điện thoại đã đăng ký ở quốc gia mục tiêu mới có thể tạo tài khoản, như trong Hình 6.

Sau khi xác minh số điện thoại thành công, người dùng sẽ có quyền truy cập vào tính năng đăng ký khoản vay trong ứng dụng. Để hoàn tất quy trình đăng ký khoản vay, người dùng buộc phải cung cấp nhiều thông tin cá nhân, bao gồm chi tiết địa chỉ, thông tin liên hệ, bằng chứng thu nhập, thông tin tài khoản ngân hàng và thậm chí phải tải lên ảnh mặt trước và mặt sau của chứng minh nhân dân của họ và ảnh tự chụp. , như được mô tả trong Hình 7.

Ứng dụng SpyLoan gây ra mối đe dọa đáng kể bằng cách lén lút trích xuất nhiều loại thông tin cá nhân từ những người dùng không nghi ngờ – những ứng dụng này có khả năng gửi dữ liệu nhạy cảm đến máy chủ ra lệnh và kiểm soát (C&C) của họ. Dữ liệu thường được lọc ra bao gồm danh sách tài khoản, nhật ký cuộc gọi, sự kiện lịch, thông tin thiết bị, danh sách ứng dụng đã cài đặt, thông tin mạng Wi-Fi cục bộ và thậm chí cả thông tin về các tệp trên thiết bị (chẳng hạn như Siêu dữ liệu Exif từ hình ảnh mà không thực sự gửi ảnh). Ngoài ra, danh sách liên hệ, dữ liệu vị trí và tin nhắn SMS cũng dễ bị tấn công. Để bảo vệ hoạt động của mình, thủ phạm mã hóa tất cả dữ liệu bị đánh cắp trước khi truyền nó đến máy chủ C&C.

Khi ứng dụng SpyLoan phát triển, mã độc của chúng ngày càng tinh vi hơn. Trong các phiên bản trước, chức năng gây hại của phần mềm độc hại không bị ẩn hoặc bảo vệ; tuy nhiên, các phiên bản sau này đã kết hợp một số kỹ thuật nâng cao hơn như làm xáo trộn mã, chuỗi mã hóa và giao tiếp C&C được mã hóa để che giấu các hoạt động độc hại của chúng. Để hiểu chi tiết hơn về những cải tiến này, hãy tham khảo Hình 8 và Hình 9.

Vào ngày 31^st, 2023, chính sách bổ sung bắt đầu áp dụng cho các ứng dụng cho vay trên Google Play, tuyên bố rằng các ứng dụng đó bị cấm yêu cầu quyền truy cập dữ liệu nhạy cảm như hình ảnh, video, danh bạ, số điện thoại, vị trí và dữ liệu bộ nhớ ngoài. Có vẻ như chính sách cập nhật này không có tác dụng ngay lập tức đối với các ứng dụng hiện có vì hầu hết những ứng dụng chúng tôi báo cáo vẫn có sẵn trên nền tảng (bao gồm cả các quyền rộng rãi của chúng) sau khi chính sách bắt đầu áp dụng, như được mô tả trong Hình 10. Tuy nhiên, như chúng tôi đã đề cập, Google sau đó đã hủy xuất bản những ứng dụng này.

Sau trận đấu

Sau khi một ứng dụng như vậy được cài đặt và dữ liệu cá nhân được thu thập, những người thực thi ứng dụng bắt đầu quấy rối và tống tiền nạn nhân của họ để họ thực hiện thanh toán, ngay cả khi - theo đánh giá - người dùng không đăng ký khoản vay hoặc đã đăng ký nhưng khoản vay thì không' t đã được phê duyệt. Những hành vi như vậy đã được mô tả trong phần đánh giá các ứng dụng này trên Facebook và trên Google Play, như được hiển thị trong Hình 11 (thậm chí đề cập đến các mối đe dọa tử vong), Hình 12 (bản dịch máy một phần: Món nợ mà bạn mắc phải có đáng để bạn yên tâm không và của những người thân yêu của bạn?… Bạn có thực sự muốn đặt sự an toàn của mình vào vòng nguy hiểm không?… Bạn có sẵn sàng gánh chịu hậu quả không? Bạn có thể gặp rất nhiều vấn đề, tránh được trải nghiệm tồi tệ cho bản thân và những người xung quanh.), và Hình 13 .

Bên cạnh việc thu thập dữ liệu và tống tiền, các dịch vụ này còn thể hiện một hình thức cho vay nặng lãi kỹ thuật số thời hiện đại, trong đó đề cập đến việc tính lãi suất quá cao cho các khoản vay, lợi dụng những cá nhân dễ bị tổn thương có nhu cầu tài chính khẩn cấp hoặc những người đi vay bị hạn chế khả năng tiếp cận tài chính chính thống. thể chế. Một người dùng đã đưa ra đánh giá tiêu cực (được hiển thị trong Hình 14) đối với ứng dụng SpyLoan không phải vì nó quấy rối anh ta mà vì đã bốn ngày kể từ khi anh ta nộp đơn xin vay, nhưng không có gì xảy ra và anh ta cần tiền để mua thuốc.

Việc cho vay nặng lãi thường được coi là phi đạo đức đến mức nó bị lên án trong nhiều văn bản tôn giáo khác nhau và được pháp luật quy định để bảo vệ người đi vay khỏi những hành vi săn mồi như vậy. Tuy nhiên, điều quan trọng cần lưu ý là hợp đồng cho vay tiêu chuẩn không được coi là cho vay nặng lãi nếu lãi suất được đặt ở mức hợp lý và tuân theo các nguyên tắc pháp lý.

Nguyên nhân đằng sau sự tăng trưởng nhanh chóng

Có một số lý do đằng sau sự phát triển nhanh chóng của ứng dụng SpyLoan. Một là các nhà phát triển ứng dụng này lấy cảm hứng từ các dịch vụ FinTech (công nghệ tài chính) thành công, tận dụng công nghệ để cung cấp các dịch vụ tài chính hợp lý và thân thiện với người dùng. Các ứng dụng và nền tảng FinTech được biết là sẽ phá vỡ ngành tài chính truyền thống bằng cách mang đến sự tiện lợi về khả năng tiếp cận, cho phép mọi người, theo cách thân thiện với người dùng, thực hiện các hoạt động tài chính khác nhau mọi lúc, mọi nơi chỉ bằng điện thoại thông minh của họ. Ngược lại, điều duy nhất mà ứng dụng SpyLoan phá vỡ là niềm tin vào công nghệ, tổ chức tài chính và các tổ chức tương tự.

Một lý do khác cho sự tăng trưởng của họ đã được ghi nhận trong Phân tích của Zimperium về cách các tác nhân độc hại đã lợi dụng khung Flutter và sử dụng nó để phát triển các ứng dụng cho vay độc hại. Chớp cánh là bộ công cụ phát triển phần mềm nguồn mở (SDK) được thiết kế để xây dựng các ứng dụng đa nền tảng có thể chạy trên nhiều nền tảng khác nhau như Android, iOS, web và Windows. Kể từ khi ra mắt vào tháng 2018 năm XNUMX, Flutter đã đóng một vai trò quan trọng trong việc tạo điều kiện phát triển các ứng dụng di động mới và thúc đẩy việc đưa chúng vào thị trường.

Mặc dù chỉ các nhà phát triển ứng dụng mới có thể xác nhận chắc chắn liệu họ đã sử dụng Flutter để lập trình ứng dụng hay các phần của chúng, nhưng trong số 17 ứng dụng mà chúng tôi đã báo cáo với Google, ba trong số đó có chứa các thư viện dành riêng cho Flutter hoặc .dart các tiện ích mở rộng đề cập đến ngôn ngữ lập trình Dart của Flutter. Điều này cho thấy rằng ít nhất một số kẻ tấn công đang sử dụng các công cụ lành tính của bên thứ ba để tạo điều kiện phát triển các ứng dụng độc hại của chúng.

Kỹ thuật giao tiếp lừa đảo

Các ứng dụng cho vay độc hại thường sử dụng các yếu tố từ ngữ và thiết kế gần giống với các ứng dụng cho vay hợp pháp. Sự giống nhau có chủ ý này khiến người dùng thông thường khó xác định tính xác thực của ứng dụng, đặc biệt khi có liên quan đến các điều khoản tài chính và pháp lý. Thông tin liên lạc lừa đảo được các ứng dụng này triển khai được chia thành nhiều lớp.

Mô tả chính thức của Google Play

Để có thể đặt chân vào Google Play và được xuất bản trên nền tảng này, tất cả các ứng dụng SpyLoan mà chúng tôi đã phân tích đều cung cấp mô tả hầu như không chỉ phù hợp với các yêu cầu của Google Play mà còn dường như bao gồm cả luật pháp địa phương. yêu cầu; một số ứng dụng thậm chí còn tuyên bố là công ty tài chính phi ngân hàng đã đăng ký. Tuy nhiên, các giao dịch thực tế và hoạt động kinh doanh - được chứng minh bằng đánh giá của người dùng và các báo cáo khác - do nhà phát triển các ứng dụng này thực hiện đã không đáp ứng các tiêu chuẩn mà họ nêu rõ ràng.

Nói chung, ứng dụng SpyLoan nêu rõ những quyền nào được yêu cầu, tuyên bố có giấy phép phù hợp và cung cấp phạm vi tỷ lệ phần trăm hàng năm (luôn nằm trong giới hạn pháp lý do luật cho vay nặng lãi địa phương hoặc luật tương tự đặt ra). Tỷ lệ phần trăm hàng năm (APR) mô tả và bao gồm lãi suất và các khoản phí hoặc phí nhất định liên quan đến khoản vay, chẳng hạn như phí ban đầu, phí xử lý hoặc các khoản phí tài chính khác. Ở nhiều quốc gia, nó bị giới hạn về mặt pháp lý và ví dụ, trong trường hợp các nhà cung cấp khoản vay cá nhân ở Hoa Kỳ, Google đã giới hạn APR ở mức 36%.

Tổng chi phí hàng năm (TAC; hoặc CAT – costo tổng hàng năm – bằng tiếng Tây Ban Nha) vượt xa APR và không chỉ bao gồm lãi suất và phí mà còn bao gồm các chi phí khác, chẳng hạn như phí bảo hiểm hoặc chi phí bổ sung liên quan đến khoản vay. Do đó, TAC cung cấp cho người đi vay ước tính chính xác hơn về tổng cam kết tài chính mà khoản vay yêu cầu, bao gồm tất cả các chi phí liên quan. Vì một số quốc gia Mỹ Latinh yêu cầu người cung cấp khoản vay tiết lộ TAC, các ứng dụng SpyLoan được tiếp thị ở khu vực này đã tiết lộ chi phí thực sự cao của các khoản vay bằng TAC của họ là từ 160% đến 340%, được hiển thị trong Hình 15.

Mô tả ứng dụng cũng bao gồm thời hạn cho các khoản vay cá nhân do người cung cấp khoản vay đặt ra và theo quy định của Google. Chính sách dịch vụ tài chính không thể đặt thành 60 ngày hoặc ít hơn. Thời hạn cho vay thể hiện khoảng thời gian mà người đi vay dự kiến ​​sẽ hoàn trả số tiền đã vay và tất cả các chi phí liên quan cho người cho vay. Các ứng dụng chúng tôi phân tích có thời hạn sử dụng được đặt từ 91 đến 360 ngày (xem Hình 15); tuy nhiên, khách hàng cung cấp phản hồi trên Google Play (xem Hình 16) phàn nàn rằng thời hạn sử dụng ngắn hơn đáng kể và mức lãi suất cao. Nếu chúng ta xem ví dụ thứ ba trong phản hồi ở Hình 16, thì tiền lãi (549 peso) cao hơn khoản vay thực tế (450 peso) và khoản vay cùng với tiền lãi (999 peso) phải được hoàn trả sau 5 ngày, do đó vi phạm chính sách cho vay của Google.

CHÍNH SÁCH BẢO MẬT

Vì nó được ủy quyền bởi Chính sách dành cho nhà phát triển Google Play, và phù hợp với Tiêu chuẩn Biết khách hàng của bạn (KYC), các nhà phát triển muốn đưa ứng dụng của mình lên Google Play phải cung cấp chính sách bảo mật hợp lệ và dễ tiếp cận. Chính sách này phải bao gồm các khía cạnh như loại dữ liệu được thu thập, cách sử dụng, dữ liệu có thể được chia sẻ với ai, áp dụng các biện pháp bảo mật để bảo vệ dữ liệu người dùng và cách người dùng có thể thực hiện các quyền đối với dữ liệu của họ. Điều này giống với các nguyên tắc KYC yêu cầu tính minh bạch trong việc sử dụng và bảo vệ dữ liệu. Các yêu cầu KYC đối với việc thu thập dữ liệu thường bao gồm thu thập thông tin cá nhân như tên đầy đủ, ngày sinh, địa chỉ, chi tiết liên hệ và số hoặc tài liệu nhận dạng do chính phủ cấp. Trong bối cảnh dịch vụ tài chính, điều này cũng có thể liên quan đến việc thu thập dữ liệu về tình trạng việc làm, nguồn thu nhập, lịch sử tín dụng và các thông tin khác có liên quan để đánh giá mức độ tin cậy về tín dụng.

Mặc dù chính sách quyền riêng tư là một tài liệu pháp lý nhưng nó có thể được tạo tự động theo cách rất dễ dàng – có nhiều trình tạo chính sách quyền riêng tư miễn phí có thể tạo tài liệu như vậy sau khi nhà phát triển ứng dụng chèn dữ liệu cơ bản như tên của ứng dụng, công ty đằng sau nó và dữ liệu mà ứng dụng đang thu thập. Điều này có nghĩa là khá đơn giản để tạo một chính sách bảo mật có vẻ chân thực đối với người bình thường.

Hoàn toàn trái ngược với các tiêu chuẩn KYC, các ứng dụng SpyLoan mà chúng tôi xác định đã sử dụng các chiến thuật lừa đảo trong chính sách quyền riêng tư của họ. Họ tuyên bố cần có quyền truy cập các tệp phương tiện “để tiến hành đánh giá rủi ro”, quyền lưu trữ “để giúp gửi tài liệu”, truy cập dữ liệu SMS mà họ cho rằng chỉ liên quan đến các giao dịch tài chính “để nhận dạng chính xác bạn”, truy cập lịch “để lên lịch ngày thanh toán tương ứng và lời nhắc tương ứng", quyền sử dụng máy ảnh "để giúp người dùng tải lên dữ liệu ảnh được yêu cầu" và quyền truy cập nhật ký cuộc gọi "để xác nhận ứng dụng của chúng tôi đã được cài đặt trên điện thoại của bạn". Trên thực tế, theo tiêu chuẩn KYC, việc xác minh danh tính và đánh giá rủi ro có thể được thực hiện bằng các phương pháp thu thập dữ liệu ít xâm phạm hơn nhiều. Như chúng tôi đã đề cập trước đây, theo chính sách quyền riêng tư của các ứng dụng này, nếu các quyền đó không được cấp cho ứng dụng thì dịch vụ và do đó khoản vay sẽ không được cung cấp. Sự thật là những ứng dụng này không cần tất cả các quyền này vì tất cả dữ liệu này có thể được tải lên ứng dụng với quyền một lần chỉ có quyền truy cập vào các ảnh và tài liệu đã chọn chứ không phải tất cả chúng, yêu cầu lịch có thể được gửi đến người nhận khoản vay qua email và việc cho phép truy cập nhật ký cuộc gọi là hoàn toàn không cần thiết.

Một số chính sách về quyền riêng tư được diễn đạt một cách cực kỳ mâu thuẫn. Một mặt, họ liệt kê các lý do gian dối để thu thập dữ liệu cá nhân, mặt khác, họ khẳng định không thu thập dữ liệu cá nhân nhạy cảm nào, như mô tả trong Hình 17. Điều này đi ngược lại các tiêu chuẩn KYC, vốn yêu cầu giao tiếp trung thực và minh bạch về việc thu thập dữ liệu và cách sử dụng, bao gồm các loại dữ liệu cụ thể được đề cập trước đó.

Chúng tôi tin rằng mục đích thực sự của các quyền này là theo dõi người dùng các ứng dụng này cũng như quấy rối và tống tiền họ cũng như những người liên hệ của họ.

Một chính sách bảo mật khác tiết lộ rằng ứng dụng cung cấp các khoản vay cho người Ai Cập được vận hành bởi SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI. Theo Tổng cục Đầu tư và Khu tự do Ai Cập, không có công ty nào như vậy được đăng ký ở Ai Cập; tuy nhiên, chúng tôi đã tìm thấy nó trên danh sách hàng chục nền tảng cho vay ngang hàng bất hợp pháp mà Lực lượng Đặc nhiệm Cảnh báo Đầu tư Indonesia đã cảnh báo vào tháng 2021 năm XNUMX.

Tóm lại, mặc dù các ứng dụng SpyLoan này tuân thủ về mặt kỹ thuật các yêu cầu về chính sách quyền riêng tư, nhưng hoạt động của chúng rõ ràng vượt xa phạm vi thu thập dữ liệu cần thiết để cung cấp dịch vụ tài chính và tuân thủ các tiêu chuẩn ngân hàng KYC. Theo quy định của KYC, các ứng dụng cho vay hợp pháp sẽ chỉ yêu cầu dữ liệu cá nhân cần thiết để xác minh danh tính và uy tín tín dụng, không yêu cầu quyền truy cập vào dữ liệu không liên quan như tệp phương tiện hoặc mục lịch. Nhìn chung, điều quan trọng là người dùng phải hiểu rõ quyền của mình và thận trọng với các quyền mà họ cấp cho bất kỳ ứng dụng nào. Điều này bao gồm việc nhận thức được các tiêu chuẩn do các quy định ngân hàng KYC đặt ra, được thiết kế không chỉ để bảo vệ các tổ chức tài chính khỏi gian lận và các hoạt động bất hợp pháp khác mà còn cả dữ liệu cá nhân và giao dịch tài chính của người dùng.

Trang web

Một số ứng dụng này có các trang web chính thức giúp tạo ảo giác về một nhà cung cấp khoản vay cá nhân tập trung vào khách hàng, có uy tín, chứa liên kết đến Google Play và các thông tin chủ yếu chung chung và đơn giản khác tương tự như mô tả mà nhà phát triển đã cung cấp trên Google Play , trước khi ứng dụng bị gỡ xuống. Họ thường không tiết lộ tên doanh nghiệp đứng đằng sau ứng dụng này. Tuy nhiên, một trong số nhiều trang web mà chúng tôi phân tích còn đi xa hơn và chứa thông tin chi tiết về các vị trí việc làm đang tuyển dụng, hình ảnh về môi trường văn phòng thoải mái và hình ảnh Ban Giám đốc – tất cả đều bị đánh cắp từ các trang web khác.

Các vị trí việc làm đang mở được sao chép từ các công ty khác và chỉ được chỉnh sửa theo những cách nhỏ. Trong một bản sao chép từ Instahyre, một nền tảng tuyển dụng có trụ sở tại Ấn Độ và được hiển thị trong Hình 18, chỉ có dòng “Kiến thức tốt về Ameyo” được chuyển sang vị trí khác trong văn bản.

Ba hình ảnh về môi trường văn phòng được mô tả trong Hình 19 được sao chép từ hai công ty – ảnh văn phòng và sân chơi được lấy từ thanh toán bằng vòng, một ứng dụng thanh toán của Ấn Độ với hàng triệu khách hàng và ảnh của nhóm là từ Ấn Độ tốt hơn, một nền tảng truyền thông kỹ thuật số của Ấn Độ.

Thành viên Hội đồng quản trị tương ứng với tên có liên quan đến công ty tuyên bố đứng đằng sau ứng dụng cụ thể này, nhưng những hình ảnh được sử dụng trên trang web (được hiển thị trong Hình 20) mô tả ba mẫu ảnh có sẵn khác nhau và trang web không nói rõ rằng những hình ảnh này chỉ mang tính minh họa chỉ có mục đích.

Mặc dù thật dễ dàng thực hiện tìm kiếm hình ảnh ngược trên Google để tìm nguồn của những hình ảnh này trong trình duyệt trên máy tính để bàn, nhưng điều quan trọng cần lưu ý là việc thực hiện này trên điện thoại khó hơn nhiều. Như chúng tôi đã lưu ý trước đây, các nhà cung cấp các ứng dụng này chỉ tập trung vào những người đi vay tiềm năng muốn sử dụng điện thoại di động để vay tiền.

Ứng dụng cho vay hợp pháp và độc hại – cách phân biệt giữa chúng

Như đã đề cập trong phần Kỹ thuật giao tiếp lừa đảo, ngay cả khi ứng dụng hoặc công ty đằng sau ứng dụng đó cho biết họ là nhà cung cấp khoản vay được phê duyệt, điều này không tự động đảm bảo tính hợp pháp hoặc thực tiễn đạo đức của ứng dụng đó – nó vẫn có thể lừa khách hàng tiềm năng bằng cách sử dụng các chiến thuật lừa đảo và thông tin sai lệch về điều kiện cho vay. Như đã đề cập bởi Coi chưng, đăng ký khoản vay từ các tổ chức có uy tín có vẻ là lời khuyên tốt nhất cho những người đi vay tiềm năng, nhưng ứng dụng SpyLoan khiến việc phân biệt họ với các tổ chức tài chính tiêu chuẩn thực sự khó khăn và một số người đi vay không có quyền truy cập vào các tổ chức tài chính truyền thống. Do đó, điều cần thiết là phải thận trọng khi tiếp cận các ứng dụng cho vay và thực hiện các bước bổ sung để đảm bảo độ tin cậy của chúng, vì việc cài đặt chúng có thể có tác động rất tiêu cực đến tình hình tài chính của người đi vay.

Bám sát các nguồn chính thức và sử dụng ứng dụng bảo mật là đủ để phát hiện ứng dụng cho vay độc hại; tuy nhiên, có những bước bổ sung mà người dùng có thể sử dụng để tự bảo vệ mình:

1. Bám sát các nguồn chính thức
   Người dùng Android nên tránh cài đặt ứng dụng cho vay từ các nguồn không chính thức và cửa hàng ứng dụng của bên thứ ba, đồng thời nên sử dụng các nền tảng đáng tin cậy như Google Play, nơi thực hiện các quy trình xem xét ứng dụng và các biện pháp bảo mật. Mặc dù điều này không đảm bảo sự bảo vệ hoàn toàn nhưng nó giúp giảm nguy cơ gặp phải các ứng dụng cho vay lừa đảo.
2. Sử dụng ứng dụng bảo mật
   Một ứng dụng bảo mật Android đáng tin cậy bảo vệ người dùng khỏi các ứng dụng cho vay độc hại và phần mềm độc hại. Ứng dụng bảo mật cung cấp lớp bảo vệ bổ sung bằng cách quét và xác định các ứng dụng có khả năng gây hại, phát hiện phần mềm độc hại và cảnh báo người dùng về các hoạt động đáng ngờ. Các ứng dụng cho vay độc hại được đề cập trong bài đăng trên blog này được các sản phẩm ESET phát hiện dưới dạng Android/SpyLoan, Android/Spy.KreditSpy hoặc một biến thể của Android/Spy.Agent.
3. Xem xét giám sát
   Khi tải xuống ứng dụng từ Google Play, điều quan trọng là phải chú ý đến đánh giá của người dùng (những đánh giá này có thể không có trên các cửa hàng không chính thức). Điều quan trọng cần lưu ý là các đánh giá tích cực có thể bị làm giả hoặc thậm chí bị tống tiền từ các nạn nhân trước đó để tăng độ tin cậy của các ứng dụng lừa đảo. Thay vào đó, người đi vay nên tập trung vào những đánh giá tiêu cực và đánh giá cẩn thận những lo ngại của người dùng vì chúng có thể tiết lộ những thông tin quan trọng như thủ đoạn tống tiền và chi phí thực tế mà người cho vay phải trả.
4. Kiểm tra chính sách quyền riêng tư và quyền truy cập dữ liệu
   Trước khi cài đặt một ứng dụng cho vay, các cá nhân nên dành thời gian đọc chính sách quyền riêng tư của ứng dụng đó, nếu có. Tài liệu này thường chứa thông tin có giá trị về cách ứng dụng truy cập và lưu trữ thông tin nhạy cảm. Tuy nhiên, những kẻ lừa đảo có thể sử dụng các điều khoản lừa đảo hoặc ngôn ngữ mơ hồ để lừa người dùng cấp các quyền không cần thiết hoặc chia sẻ dữ liệu cá nhân. Trong quá trình cài đặt, điều quan trọng là phải chú ý đến dữ liệu mà ứng dụng yêu cầu quyền truy cập và đặt câu hỏi liệu dữ liệu được yêu cầu có cần thiết cho chức năng của ứng dụng cho mượn hay không, chẳng hạn như danh bạ, tin nhắn, ảnh, tệp và sự kiện lịch.
5. Nếu phòng ngừa không hiệu quả
   Có một số cách mà các cá nhân có thể tìm kiếm sự giúp đỡ và hành động nếu họ trở thành nạn nhân của những kẻ cho vay nặng lãi kỹ thuật số. Nạn nhân nên báo cáo vụ việc với cơ quan thực thi pháp luật của quốc gia họ hoặc các cơ quan pháp luật liên quan, liên hệ với các cơ quan bảo vệ người tiêu dùng và thông báo cho tổ chức quản lý các điều khoản của khoản vay tư nhân; ở hầu hết các nước, đó là ngân hàng quốc gia hoặc tương đương. Các tổ chức này càng nhận được nhiều cảnh báo thì họ càng có nhiều khả năng hành động. Nếu ứng dụng cho vay lừa đảo được lấy thông qua Google Play, các cá nhân có thể tìm kiếm sự trợ giúp từ Bộ phận hỗ trợ của Google Play để họ có thể báo cáo ứng dụng và yêu cầu xóa dữ liệu cá nhân của họ liên quan đến ứng dụng đó. Tuy nhiên, điều quan trọng cần lưu ý là dữ liệu có thể đã được trích xuất sang máy chủ C&C của kẻ tấn công.

Kết luận

Ngay cả sau nhiều lần gỡ xuống, các ứng dụng SpyLoan vẫn tiếp tục tìm đường đến Google Play và đóng vai trò như một lời nhắc nhở quan trọng về những rủi ro mà người vay gặp phải khi tìm kiếm các dịch vụ tài chính trực tuyến. Các ứng dụng độc hại này khai thác lòng tin của người dùng đối với các nhà cung cấp khoản vay hợp pháp, sử dụng các kỹ thuật tinh vi để đánh lừa và đánh cắp rất nhiều thông tin cá nhân.

Điều quan trọng là các cá nhân phải thận trọng, xác thực tính xác thực của bất kỳ ứng dụng hoặc dịch vụ tài chính nào và dựa vào các nguồn đáng tin cậy. Bằng cách luôn cập nhật thông tin và cảnh giác, người dùng có thể tự bảo vệ mình tốt hơn khỏi trở thành nạn nhân của những âm mưu lừa đảo như vậy.

Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .

IoC

Các tập tin

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 13 của khung MITER ATT & CK.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/