Lebih dari selusin aplikasi Android berbahaya yang diidentifikasi di Google Play Store dan telah diunduh secara kolektif lebih dari 8 juta kali mengandung malware yang dikenal sebagai SpyLoan, menurut temuan baru dari McAfee Labs.
“Aplikasi PUP (program yang mungkin tidak diinginkan) ini menggunakan taktik rekayasa sosial untuk mengelabui pengguna agar memberikan informasi sensitif dan memberikan izin aplikasi seluler tambahan, yang dapat menyebabkan pemerasan, pelecehan, dan kerugian finansial,” kata peneliti keamanan Fernando Ruiz dalam analisis yang dipublikasikan terakhir kali. pekan.
Aplikasi yang baru ditemukan ini dimaksudkan untuk menawarkan pinjaman cepat dengan persyaratan minimal untuk menarik pengguna yang tidak menaruh curiga di Meksiko, Kolombia, Senegal, Thailand, Indonesia, Vietnam, Tanzania, Peru, dan Chili.
15 aplikasi pinjaman predator tercantum di bawah ini. Lima aplikasi yang masih tersedia untuk diunduh dari toko aplikasi resmi ini dikatakan telah melakukan perubahan untuk mematuhi kebijakan Google Play.
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
- Préstamo Rápido-Kredit Mudah (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- Pembayaran – เงินกู้ (com.gotoloan.cash)
- Uang Tunai – Uang Tunai (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Pinjaman Tunai-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Uang Huayna – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Beberapa dari aplikasi ini telah dipromosikan melalui postingan di platform media sosial seperti Facebook, yang menunjukkan berbagai metode yang digunakan pelaku ancaman untuk mengelabui korban agar memasang aplikasi tersebut.
SpyLoan adalah pelaku berulang yang terjadi pada tahun 2020, dengan laporan dari ESET pada bulan Desember 2023 mengungkap 18 aplikasi lainnya yang berusaha menipu pengguna dengan menawarkan pinjaman berbunga tinggi, sekaligus secara diam-diam juga mengumpulkan informasi pribadi dan keuangan mereka.
Tujuan akhir dari skema keuangan ini adalah untuk mengumpulkan sebanyak mungkin informasi dari perangkat yang terinfeksi, yang kemudian dapat digunakan untuk memeras pengguna dengan memaksa mereka membayar kembali pinjaman dengan suku bunga yang lebih tinggi, dan dalam beberapa kasus, untuk menunda pembayaran atau melakukan intimidasi. mereka dengan foto pribadi yang dicuri.
“Pada akhirnya, alih-alih memberikan bantuan keuangan yang sebenarnya, aplikasi-aplikasi ini malah membawa pengguna ke dalam siklus utang dan pelanggaran privasi,” kata Ruiz.
Meskipun ada perbedaan dalam penargetan, aplikasi-aplikasi tersebut diketahui memiliki kerangka kerja yang sama untuk mengenkripsi dan mengekstraksi data dari perangkat korban ke server perintah dan kontrol (C2). Mereka juga mengikuti pengalaman pengguna dan proses orientasi yang serupa untuk mengajukan pinjaman.
Selain itu, aplikasi tersebut meminta sejumlah izin intrusif yang memungkinkan mereka mengambil informasi sistem, kamera, log panggilan, daftar kontak, lokasi kasar, dan pesan SMS. Pengumpulan data dibenarkan dengan mengklaim bahwa hal itu diperlukan sebagai bagian dari identifikasi pengguna dan tindakan anti-penipuan.
Pengguna yang mendaftar layanan ini divalidasi melalui kata sandi satu kali (OTP) untuk memastikan mereka memiliki nomor telepon dari wilayah target. Mereka juga didesak untuk memberikan dokumen identifikasi tambahan, rekening bank, dan informasi karyawan, yang semuanya kemudian dieksfiltrasi ke server C2 dalam format terenkripsi menggunakan AES-128.
Untuk memitigasi risiko yang ditimbulkan oleh aplikasi tersebut, penting untuk meninjau izin aplikasi, meneliti ulasan aplikasi, dan mengonfirmasi keabsahan pengembang aplikasi sebelum mengunduhnya.
“Ancaman aplikasi Android seperti SpyLoan adalah masalah global yang mengeksploitasi kepercayaan pengguna dan keputusasaan finansial,” kata Ruiz. “Meskipun ada tindakan penegakan hukum untuk menangkap beberapa kelompok yang terkait dengan pengoperasian aplikasi SpyLoan, operator baru dan penjahat dunia maya terus mengeksploitasi aktivitas penipuan ini.”
“Aplikasi SpyLoan beroperasi dengan kode serupa pada tingkat aplikasi dan C2 di berbagai benua. Hal ini menunjukkan adanya pengembang bersama atau kerangka kerja bersama yang dijual kepada penjahat dunia maya. Pendekatan modular ini memungkinkan para pengembang ini dengan cepat mendistribusikan aplikasi berbahaya yang disesuaikan dengan berbagai pasar. , mengeksploitasi kerentanan lokal sambil mempertahankan model yang konsisten untuk menipu pengguna.”
