800 万 Android 用户在 Google Play 上的贷款应用中受到 SpyLoan 恶意软件的攻击

根据 McAfee Labs 的新调查结果，在 Google Play 商店中发现的十多个恶意 Android 应用程序已被集体下载超过 800 万次，其中包含称为 SpyLoan 的恶意软件。

“这些 PUP（潜在有害程序）应用程序使用社会工程策略来诱骗用户提供敏感信息并授予额外的移动应用程序权限，这可能导致勒索、骚扰和经济损失，”安全研究员费尔南多·鲁伊斯（Fernando Ruiz）在上周发表的分析中说。

新发现的应用程序声称以最低的要求提供快速贷款，以吸引墨西哥、哥伦比亚、塞内加尔、泰国、印度尼西亚、越南、坦桑尼亚、秘鲁和智利毫无戒心的用户。

下面列出了 15 个掠夺性贷款应用程序。据说其中 5 个仍然可以从官方应用商店下载的应用程序已经进行了更改以符合 Google Play 政策。

Préstamo Seguro-Rápido， seguro （com.prestamoseguro.ss ）
Préstamo Rápido-Credit Easy （com.voscp.rapido）
ได้บาทง่ายๆ-สินเชื่อด่วน （com.uang.belanja）
RupiahKilat-Dana cair （com.rupiahkilat.best）
ยืมอย่างมีความสุข – เงินกู้ （com.gotoloan.cash）
เงินมีความสุข – สินเชื่อด่วน （com.hm.happy.money）
KreditKu-Uang 在线（com.kreditku.kuindo）
Dana Kilat-Pinjaman kecil （com.winner.rupiahcl）
现金贷款（com.vay.cashloan.cash）
快速金融（com.restrict.bright.cowboy）
PrêtPourVous （com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret）
Huayna Money – Préstamo Rápido （com.huaynamoney.prestamos.creditos.peru.loan.credit）
IPréstamos： Rápido Crédito （com.credito.iprestamos.dinero.en.linea.chile）
ConseguirSol-Dinero Rápido （com.conseguir.sol.pe）
ÉcoPrêt prêt en ligne （com.pret.loan.ligne.personnel）

其中一些应用程序是通过 Facebook 等社交媒体平台上的帖子进行推广的，这表明威胁行为者正在使用各种方法来诱骗预测性受害者安装它们。

SpyLoan 是一个可以追溯到 2020 年的惯犯，ESET 于 2023 年 12 月的一份报告揭露了另一组 18 个应用程序，这些应用程序试图通过向用户提供高利率贷款来欺骗用户，同时还秘密收集他们的个人和财务信息。

该金融计划的最终目标是从受感染的设备中收集尽可能多的信息，然后利用这些信息来勒索用户，方法是胁迫他们以更高的利率偿还贷款，在某些情况下，延迟付款或用被盗的个人照片恐吓他们。

“最终，这些应用程序非但没有提供真正的经济援助，反而会导致用户陷入债务和隐私侵犯的循环，”鲁伊斯说。

尽管目标存在差异，但已发现这些应用程序共享一个通用框架，用于加密数据并将其从受害者设备泄露到命令和控制（C2）服务器。他们还遵循类似的用户体验和入职流程来申请贷款。

此外，这些应用程序请求许多侵入性权限，允许它们收集系统信息、相机、通话记录、联系人列表、粗略位置和 SMS 消息。数据收集是合理的，声称它是用户识别和反欺诈措施的一部分。

注册该服务的用户通过一次性密码（OTP）进行验证，以确保他们拥有来自目标区域的电话号码。他们还被敦促提供补充身份证明文件、银行账户和员工信息，所有这些信息随后都使用 AES-128 以加密格式泄露到 C2 服务器。

为了降低此类应用程序带来的风险，必须在下载应用程序之前审查应用程序权限、审查应用程序评论并确认应用程序开发人员的合法性。

“像 SpyLoan 这样的 Android 应用程序的威胁是一个全球性问题，它利用了用户的信任和财务上的绝望，”Ruiz 说。“尽管执法部门采取了行动来抓捕与 SpyLoan 应用程序运营相关的多个团体，但新的运营商和网络犯罪分子仍在继续利用这些欺诈活动。”

“SpyLoan 应用程序在不同大洲的应用程序和 C2 级别使用类似的代码运行。这表明存在一个共同的开发人员或一个被出售给网络犯罪分子的共享框架。这种模块化方法使这些开发人员能够快速分发针对各种市场量身定制的恶意应用程序，利用本地漏洞，同时保持一致的模型来欺骗用户。
觉得这篇文章有趣吗？关注我们

信息来源：https://thehackernews.com/2024/12/8-million-android-users-hit-by-spyloan.html