Аналитики Cyfirma обнаружили, что Android-вредонос под названием SpyLend проник в официальный магазин Google Play и был загружен более 100 000 раз. Малварь маскировалась под финансовый инструмент и использовалась в Индии для выдачи кредитов по схеме SpyLoan.
Малварь типа SpyLoan обычно маскируется под законные финансовые инструменты или кредитные сервисы, где пользователям предлагают займы с быстрым одобрением, однако условия таких кредитов часто очень обманчивы или попросту ложны. Кроме того, приложения похищают данные с устройств жертв, чтобы впоследствии использовать их для шантажа и так называемого «хищнического кредитования».
Кроме того, SpyLoan-приложения всегда запрашивают на устройстве избыточные привилегии, в том числе: разрешение на использование камеры (якобы для загрузки KYC-фотографий), доступ к календарю, контактам, SMS, местоположению, данным сенсоров и так далее. В итоге операторы таких приложений могут похищать конфиденциальные данные с устройства и использовать их для шантажа, например, чтобы вынудить жертву платить.
Исследователи из Cyfirma обнаружили в официальном магазине приложение Finance Simplified, загруженное более 100 000 раз и якобы представляющее собой инструмент для управления финансами.
По словам экспертов, в некоторых странах (например, в уже упомянутой Индии), приложение демонстрирует вредоносное поведение и похищает данные с устройств пользователей. Кроме того, были обнаружены и другие вредоносные APK, которые, по всей видимости, являются вариациями той же вредоносной кампании: KreditApple, PokketMe и StashFur.
Хотя приложение уже удалено из Google Play, оно может продолжать работать в фоновом режиме, собирая конфиденциальную информацию с зараженных устройств, в том числе:
- контакты, журналы вызовов, SMS-сообщения и данные об устройстве;
- фотографии, видео и документы из внутренних и внешних хранилищ;
- местоположения жертвы в режиме реального времени (обновляется каждые 3 секунды), история местоположений и IP-адрес;
- последние 20 текстовых записей, скопированных в буфер обмена;
- история кредитов и SMS-сообщения о банковских операциях.
Многочисленные отзывы пользователей Finance Simplified в Google Play свидетельствуют о том, что приложение предлагало услуги кредитования, а затем его операторы пытались вымогать у заемщиков деньги, если те отказываются выплачивать огромные проценты.
Хотя в основном перечисленные выше данные использовались для вымогательства денег у людей, которые рискнули оформить кредит через Finance Simplified, они также могут применяться для финансовых махинаций или перепродаваться киберпреступникам.
Чтобы избежать обнаружения в Google Play, Finance Simplified использовало WebView для перенаправления пользователей на внешний сайт, откуда те загружали APK для займов, размещенный в Amazon EC2. При этом отмечается, что приложение переходило к загрузке дополнительного APK только в том случае, если пользователь находился в Индии.
