McAfee Labs 的安全研究人员已识别出 15 个恶意 Android 应用程序,其中包含名为“SpyLoan”的恶意软件。
这些应用程序在 Google Play 商店的下载量已超过 800 万次。
这些掠夺性贷款应用程序将自己伪装成合法的金融服务,引诱毫无戒心的用户下载它们。
他们主要针对南美、东南亚和非洲的用户,其中一些通过欺骗性社交媒体广告进行宣传。
安全研究员 Fernando Ruiz 表示:“这些 PUP(潜在有害程序)应用程序使用社会工程策略来诱骗用户提供敏感信息并授予额外的移动应用程序权限,这可能会导致勒索、骚扰和经济损失。”写了在上周发表的一篇博客文章中。
据这家安全软件公司称,这 15 个 SpyLoan 应用程序使用一个共享框架运行,该框架旨在加密敏感数据并将其从受害者的设备传输到命令和控制 (C2) 服务器,这表明所有这些应用程序的幕后黑手都是同一个开发人员或网络犯罪团伙。
SpyLoan 应用程序使用欺骗性名称和徽标伪装成合法贷款提供商,造成虚假的信任感。
这些应用程序冒充真正的贷款服务,承诺向墨西哥、哥伦比亚、塞内加尔、泰国、印度尼西亚、越南、坦桑尼亚、秘鲁和智利毫无戒心的用户提供最低要求的即时信贷。
用户注册该服务后,这些应用程序会使用一次性密码 (OTP) 来确保他们拥有目标地区的电话号码。
然后,系统会提示用户提供补充身份证明文件和个人信息、银行账户、员工信息和设备数据,这些数据随后以加密格式从受害者泄露到 C2 服务器。
然而,这些应用程序以处理贷款为幌子,秘密收集敏感数据,包括联系人、通话记录和短信。
他们还采用激进的策略,例如要求额外的移动应用程序权限,并通过威胁性消息或电话(包括死亡威胁)恐吓用户。
一旦贷款发放,用户往往会发现自己陷入高息还款计划。
运营商滥用被盗的电话数据来骚扰和勒索借款人,经常联系家庭成员以施加压力还款。
据 McAfee Labs 称,从 2024 年第二季度末到第三季度末,恶意 SpyLoan 应用程序和独特的受感染设备增加了 75% 以上。
其中 5 个应用程序仍然可以在官方应用程序商店中下载,据报道它们已经进行了调整以符合 Google Play 政策。
为了减轻此类应用程序带来的风险,建议仔细阅读应用程序权限,阅读应用程序评论以查看是否报告了任何问题,避免从第三方市场下载应用程序,在下载应用程序之前检查应用程序发布者的合法性,并安装和更新安全软件。
“像 SpyLoan 这样的 Android 应用程序的威胁是一个全球性问题,它利用了用户的信任和财务绝望。尽管执法部门采取了行动来捕获与 SpyLoan 应用程序操作相关的多个组织,但新的运营商和网络犯罪分子仍在继续利用这些欺诈活动,”鲁伊斯说。
“SpyLoan 应用程序在不同大陆的应用程序和 C2 级别使用相似的代码进行操作。这表明存在共同的开发人员或出售给网络犯罪分子的共享框架。这种模块化方法允许这些开发人员快速分发针对不同市场的恶意应用程序,利用本地漏洞,同时保持欺骗用户的一致模型。”
