Аналитики McAfee нашли в магазине Google Play 15 вредоносных приложений, относящихся к семейству SpyLoan. Суммарно эти приложения насчитывают более 8 млн установок и были нацелены на пользователей из стран Южной Америки, Юго-Восточной Азии и Африки. Самые популярные перечислены ниже.
- Préstamo Seguro-Rápido, Seguro — 1 000 000 загрузок, в основном нацелено на пользователей из Мексики;
- Préstamo Rápido-Credit Easy — 1 000 000 загрузок, в основном ориентировано на Колумбию;
- ได้บาทง่ายๆ-สินเชื่อด่วน — 1 000 000 загрузок, предназначено для пользователей из Сенегала;
- RupiahKilat-Dana cair — 1 000 000 загрузок, так же нацелено на Сенегал;
- ยืมอย่างมีความสุข - เงินกู้ — 1 000 000 загрузок, ориентировано на пользователей из Таиланда;
- เงินมีความสุข - สินเชื่อด่วน — 1 000 000 загрузок, тоже предназначено для Таиланда;
- KreditKu-Uang Online — 500 000 загрузок, в основном атакует пользователей в Индонезии;
- Dana Kilat-Pinjaman kecil — 500 000 загрузок, еще одно приложение, предназначенное в основном для Индонезии.
Сообщается, что в настоящее время все приложения уже удалены из Google Play, однако исследователи отмечают, что их присутствие в магазине свидетельствует о настойчивости хакеров. Дело в том, что такую малварь далеко не впервые обнаруживают и удаляют из официального магазина.
К примеру, в конце 2023 года специалисты ESET заметили в Google Play 18 приложений, распространявших SpyLoan и скачанных более 12 млн раз.
Приложения SpyLoan появились еще в 2020 году и обычно рекламируются как финансовые инструменты, в которых пользователям предлагают займы с быстрым одобрением, однако условия таких кредитов часто очень обманчивы или попросту ложны.
После того как жертва устанавливает SpyLoan-приложение, ее просят пройти проверку с помощью одноразового пароля (OTP). Таким образом злоумышленники убеждаются, что жертва находится в нужном регионе. Затем пользователя просят предоставить конфиденциальные документы, удостоверяющие личность, информацию о работодателе и банковские данные.
Кроме того, SpyLoan-приложения всегда запрашивают на устройстве избыточные привилегии, в том числе: разрешение на использование камеры (якобы для загрузки KYC-фотографий), доступ к календарю, контактам, SMS, местоположению, данным сенсоров и так далее. В итоге операторы приложений могут похищать конфиденциальные данные с устройства и использовать их для шантажа, чтобы вынудить жертву платить.
Так, мошенники могут неожиданно сократить срок выплаты займа до нескольких дней (или любого произвольного периода времени), угрожать пользователю и требовать денег, в противном случае обещая слить его данные или раскрыть секреты.
То есть, получив кредит через такое приложение, пользователь не только должен выплачивать высокие проценты, но и подвергается постоянному преследованию со стороны операторов SpyLoan, которые шантажируют его, используя украденную информацию. Более того, в некоторых случаях мошенники даже связываются с членами семьи и друзьями заемщика, угрожая и им тоже.
