一款名爲 SpyLend 的 Android 惡意軟件應用程序已在 Google Play 上被下載超過 10 萬次。該應用僞裝成一款金融工具,但實際上是一個針對印度用戶的掠奪性貸款應用程序。
該應用程序屬于名爲 SpyLoan 的惡意 Android 應用程序組,這些應用僞裝成合法的金融工具或貸款服務,實際上卻竊取設備數據用于掠奪性貸款。這些應用通常承諾提供快速簡便的貸款,隻需很少的文檔,并提供誘人的條款,以此吸引用戶。然而,在安裝時,它們會請求過多的權限,從而竊取用戶的個人數據,包括聯系人、通話記錄、短信、照片和設備位置等信息。
這些收集到的數據随後被用來騷擾、敲詐和勒索用戶,尤其是當用戶未能滿足應用程序的還款條款時。
貸款詐騙和敲詐勒索
網絡安全公司 CYFIRMA 發現了一款名爲 Finance Simplified 的 Android 應用,該應用自稱是一款财務管理工具,在 Google Play 上的下載量已達 10 萬次。然而,CYFIRMA 表示,該應用在某些國家(如印度)表現出更多的惡意行爲,會竊取用戶設備的數據用于掠奪性貸款。研究人員還發現了其他惡意 APK,這些 APK 似乎是同一惡意軟件活動的變種,包括 KreditApple、PokketMe 和 StashFur。
盡管該應用現已被從 Google Play 中移除,但它可能仍在後台運行,繼續從受感染的設備中收集敏感信息。
Google Play 上 Finance Simplified 的多條用戶評論顯示,該應用提供的貸款服務會向未支付高額利息的借款人進行勒索。一位用戶評論稱:" 這款應用程序非常糟糕,他們提供的貸款金額很低,然後勒索要求高額還款,否則就會把照片編輯成裸照進行威脅。"
這些應用程序還聲稱自己是注冊的非銀行金融公司(NBFC),但 CYFIRMA 表示這并不屬實。
爲了逃避 Google Play 的檢測,Finance Simplified 加載了一個 WebView,将用戶重定向到外部網站,然後從該網站下載托管在 Amazon EC2 服務器上的貸款應用 APK。
CYFIRMA 解釋道:"Finance Simplified 應用程序似乎專門針對印度用戶,它通過顯示和推薦貸款申請、加載顯示貸款服務的 WebView 來重定向到外部網站,然後在該網站下載單獨的貸款 APK 文件。"
研究人員發現,隻有當用戶位于印度時,該應用程序才會加載欺騙性界面,這表明該活動具有特定的目标。
應用程序竊取敏感數據
該惡意軟件活動更令人擔憂的方面是其數據收集行爲,其中包括存儲在用戶設備上的敏感個人信息。以下是該惡意軟件竊取的數據摘要:
· 聯系人、通話記錄、短信和設備詳細信息。
· 來自内部和外部存儲的照片、視頻和文檔。
· 實時位置跟蹤(每 3 秒更新一次)、曆史位置數據和 IP 地址。
· 最後 20 個複制到剪貼闆的文本條目。
· 貸款曆史和銀行短信交易信息。
雖然這些數據主要用于敲詐那些錯誤申請貸款的受害者,但也可能被用于金融欺詐或轉售給網絡犯罪分子以牟利。
應對措施
如果您懷疑您的設備被任何上述應用程序或類似應用程序感染,請立即删除它們,重置權限,更改銀行賬戶密碼,并執行設備掃描。
