Компания ESET – лидер в области информационной безопасности – обнаружила мошеннические приложения для Android, которые маскируются под легитимные программы для предоставления кредита. Несмотря на привлекательный внешний вид, эти сервисы действительно созданы для обмана пользователей и похищения их личной и финансовой информации для дальнейшего шантажа. Всего эти приложения были загружены более 12 миллионов раз.
Продукты ESET обнаруживают эти вредоносные программы под названием SpyLoan, что непосредственно указывает на их шпионские функции в сочетании с требованиями относительно кредита. Эти шпионские программы распространяются через социальные сети и SMS-сообщения, специальные мошеннические веб-сайты, неофициальные магазины приложений, а также Google Play.
Компания ESET, как участник App Defense Alliance, обнаружила 18 программ SpyLoan в Google Play и сообщила об этом в компанию Google, которая впоследствии удалила 17 из них со своей платформы. Последнее приложение из списка изменило свое поведение и поэтому специалисты ESET больше не обнаруживали его как программу SpyLoan.
Каждый образец программы SpyLoan, независимо от канала распространения, ведет себя одинаково через идентичный базовый код. Несмотря на загрузку с подозрительного веб-сайта, стороннего магазина приложений или Google Play, пользователи получают те же функции и сталкиваются с одинаковыми рисками, независимо от того, откуда было загружено приложение.
«Эти вредоносные программы используют доверчивость пользователей к легитимным сервисам кредитования, применяя сложные методы для обмана и похищения личной информации. Поэтому важно, чтобы пользователи были осторожными, проверяли безопасность любого финансового приложения или сервиса и загружали их только с надежных ресурсов. Осведомленность и внимательность поможет защититься от таких мошеннических схем», – комментирует Лукаш Штефанко, исследователь ESET.
Исследователи ESET отследили происхождение схемы SpyLoan к 2020 году. После установки SpyLoan пользователю необходимо принять условия обслуживания и предоставить расширенные разрешения на доступ к конфиденциальным данным на устройстве. Согласно политике конфиденциальности этих программ, в случае отсутствия разрешений кредит не будет предоставлен. Чтобы завершить процесс подачи заявки на кредит, пользователи также должны предоставить расширенную личную информацию.
Среди данных, которые отправляются на командный сервер: список учетных записей пользователя и установленных приложений, журналы вызовов, события календаря, информация об устройстве, сети Wi-Fi и сохраненных файлах, а также контакты, данные о местоположении и SMS-сообщения. Чтобы защитить свою вредоносную деятельность, злоумышленники шифруют все украденные данные перед передачей их на командный сервер.
Затем эти данные используются для преследования и шантажа жертв и, согласно отзывам пользователей, даже в случаях, когда кредит не предоставлялся. Такие инциденты были описаны в обзорах этих приложений в Facebook и Google Play. Исследователи ESET считают, что настоящей целью разрешений, которые требуют программы SpyLoan, является шпионаж, преследование и шантаж пользователей и их контактов.
На этот раз злоумышленники были нацелены преимущественно на пользователей Юго-Восточной Азии, Африки и Латинской Америки. Исследователи ESET считают, что любые обнаружения вне этих стран связаны со смартфонами, которые по разным причинам имеют доступ к номеру телефона, зарегистрированному в одной из этих стран. Стоит отметить, что активные атаки, нацеленные на страны Европы, в частности и Украину, отсутствуют.
В связи с рисками дальнейшего распространения подобных опасных программ специалисты ESET рекомендуют загружать только проверенные приложения, даже из официальных магазинов, следить за предоставляемыми разрешениями программам и обеспечить защиту своих компьютеров и смартфонов от различных угроз с помощью одной подписки ESET HOME Security Premium для безопасности всех устройств.