McAfee Labs выявила значительный рост присутствия на устройствах Android приложений SpyLoan, также известных как хищнические приложения для получения займов. Эти потенциально нежелательные программы (PUP) обманным путем заставляют пользователей предоставлять конфиденциальную информацию и выдавать чрезмерные разрешения, что приводит к вымогательству, преследованиям и финансовым потерям. В ходе расследования было обнаружено пятнадцать приложений с более чем восемью миллионами установок, которые используют общую структуру для шифрования и утечки данных на командно-контрольный сервер (C2), ориентированный на пользователей в основном в Южной Америке, Южной Азии и Африке.
SpyLoan Malware
Приложения SpyLoan маскируются под легальные финансовые сервисы, предлагая быстрые займы с низкими ставками, но в первую очередь собирают данные пользователей, включая личные и юридические документы, и используют их для шантажа или продают третьим лицам. Приложения SpyLoan эксплуатируют пользователей, взимая скрытые комиссии и высокие процентные ставки, что часто приводит к несанкционированным расходам и нарушению конфиденциальности. Они используют социальную инженерию для имитации солидных финансовых учреждений и обманчивый маркетинг, чтобы заставить пользователей принимать поспешные решения. Приложения запрашивают ненужные разрешения, такие как доступ к контактам, SMS, хранилищам и журналам вызовов, и используют AES-шифрование для передачи собранной информации на серверы C2. Они также занимаются снятием отпечатков пальцев с устройств, мониторингом поведения и вымогательством: жертвы сообщают о звонках с угрозами и преследовании своих контактов.
McAfee в рамках App Defense Alliance выявила приложения, нарушающие политику Google Play в отношении неэтичных действий, в результате чего некоторые из них были обновлены или приостановлены. Несмотря на обновления, McAfee Mobile Security помечает эти приложения как Android/PUP.SpyLoan из-за риска для конфиденциальности и потенциального использования операторами, не имеющими надлежащего лицензирования или регистрации. Влияние этих приложений носит глобальный характер: сообщения о финансовых махинациях, несанкционированных транзакциях и преследованиях поступают из Азии, Африки и Латинской Америки. В разных странах были проведены правоохранительные мероприятия, включая рейды и аресты, однако число приложений SpyLoan продолжает расти, что позволяет предположить наличие общего разработчика или общей основы для их распространения. Такой модульный подход позволяет быстро распространять вредоносные приложения, адаптированные для различных рынков, что затрудняет борьбу с угрозой и ее отслеживание.
Indicators of Compromise
SHA256
- 22f4650621fea7a4deab4742626139d2e6840a9956285691b2942b69fef0ab22
- 27743ab447cb3731d816afb7a4cecc73023efc4cd4a65b6faf3aadfd59f1768e
- 43977fce320b39a02dc4e323243ea1b3bc532627b5bc8e15906aaff5e94815ee
- 453e23e68a9467f861d03cbace1f3d19909340dac8fabf4f70bc377f0155834e
- 45697ddfa2b9f7ccfbd40e971636f9ef6eeb5d964e6802476e8b3561596aa6c2
- 79fd1dccfa16c5f3a41fbdb0a08bb0180a2e9e5a2ae95ef588b3c39ee063ce48
- 852a1ae6193899f495d047904f4bdb56cc48836db4d57056b02352ae0a63be12
- 9d51a5c0f9abea8e9777e9d8615bcab2f9794b60bf233e3087615638ceaa140e
- b5209ae7fe60abd6d86477d1f661bfba306d9b9cbd26cfef8c50b81bc8c27451
- b67e970d9df925439a6687d5cd6c80b9e5bdaa5204de14a831021e679f6fbdf1
- dfbf0bf821fa586d4e58035ed8768d2b0f1226a3b544e5f9190746b6108de625
- e303fdfc7fd02572e387b8b992be2fed57194c7af5c977dfb53167a1b6e2f01b
- e59fd9d96b3a446a2755e1dfc5a82ef07a3965866a7a1cb2cc1a2ffb288d110c
- ef91f497e841861f1b52847370e2b77780f1ee78b9dab88c6d78359e13fb19dc
- f71dc766744573efb37f04851229eb47fc89aa7ae9124c77b94f1aa1ccc53b6c
