Компанія ESET — лідер у галузі інформаційної безпеки — виявила шахрайські додатки для Android, які маскуються під легітимні програми для надання позик. Незважаючи на привабливий зовнішній вигляд, ці сервіси насправді створені для обману користувачів та викрадення їх особистої та фінансової інформації для подальшого шантажу. Всього ці програми було завантажено понад 12 мільйонів разів.
Продукти ESET виявляють ці шкідливі програми під назвою SpyLoan, що безпосередньо вказує на їх шпигунські функції в поєднанні з вимогами про позику. Ці шпигунські програми поширюються через соціальні мережі та SMS-повідомлення, спеціальні шахрайські вебсайти, неофіційні магазини програм, а також Google Play.
Компанія ESET, як учасник App Defense Alliance, виявила 18 програм SpyLoan у Google Play та повідомила про них в компанію Google, яка згодом видалила 17 з них зі своєї платформи. Останній додаток зі списку змінив свою поведінку і тому спеціалісти ESET більше не виявляли його як програму SpyLoan.
Кожен зразок програми SpyLoan, незалежно від каналу поширення, поводиться однаково через ідентичний базовий код. Незважаючи на завантаження з підозрілого вебсайту, стороннього магазину додатків чи навіть Google Play, користувачі отримують ті самі функції та стикаються з однаковими ризиками, незалежно від того, звідки було завантажено додаток.
«Ці шкідливі програми використовують довірливість користувачів до легітимних сервісів з кредитування, застосовуючи складні методи для обману та викрадення особистої інформації. Тому важливо, щоб користувачі були обережними, перевіряли безпечність будь-якого фінансового додатка чи сервісу та завантажували їх лише з надійних ресурсів. Поінформованість та уважність допоможе захиститися від таких шахрайських схем», – коментує Лукаш Штефанко, дослідник ESET.
Дослідники ESET відстежили походження схеми SpyLoan до 2020 року. Після встановлення програми SpyLoan користувачу потрібно прийняти умови обслуговування та надати розширені дозволи на доступ до конфіденційних даних на пристрої. Відповідно до політики конфіденційності цих програм, у разі відсутності дозволів позика не буде надана. Щоб завершити процес подачі заявки на кредит, користувачі також змушені надати розширену особисту інформацію.
Серед даних, які зазвичай надсилаються на командний сервер: список облікових записів користувача та встановлених програм, журнали викликів, події календаря, інформація про пристрій, мережу Wi-Fi та збережені файли, а також контакти, дані про місцезнаходження та SMS-повідомлення. Щоб захистити свою шкідливу діяльність, зловмисники шифрують усі викрадені дані перед передачею їх на командний сервер.
Потім ці дані використовуються для переслідування та шантажу жертв і, згідно з відгуками користувачів, навіть у випадках, коли кредит не надавався. Такі інциденти були описані в оглядах цих додатків у Facebook та Google Play. Дослідники ESET вважають, що справжньою метою дозволів, які вимагають програми SpyLoan, є шпигунство, переслідування та шантаж користувачів та їхніх контактів.
Цього разу зловмисники були націлені переважно на користувачів Південно-Східної Азії, Африки та Латинської Америки. Дослідники ESET вважають, що будь-які виявлення за межами цих країн пов’язані зі смартфонами, які з різних причин мають доступ до номера телефону, зареєстрованого в одній із цих країн. Варто зазначити, що наразі немає активних атак, націлених на країни Європи, зокрема і Україну.
У зв’язку з ризиками подальшого поширення подібних небезпечних програм спеціалісти ESET рекомендують завантажувати лише перевірені додатки, навіть з офіційних магазинів, слідкувати за дозволами, які ви надаєте програмам, та забезпечити захист своїх комп’ютерів та смартфонів від різних загроз за допомогою однієї передплати ESET HOME Security Premium для безпеки всіх пристроїв.