TIN CHUYÊN NGÀNH, TIN TỨC

8 triệu người dùng Android bị nhiễm phần mềm độc hại SpyLoan trong các ứng dụng cho vay trên Google Play

Posted on by Admin TABViet
03
Dec

Nguồn: TheHackerNews

Theo những phát hiện mới từ McAfee Labs, hơn một chục ứng dụng Android độc hại được xác định trên Google Play Store đã được tải xuống tổng cộng hơn 8 triệu lần chứa phần mềm độc hại được gọi là SpyLoan.
“Những ứng dụng PUP (chương trình có khả năng không mong muốn) này sử dụng các chiến thuật kỹ thuật xã hội để lừa người dùng cung cấp thông tin nhạy cảm và cấp thêm quyền cho ứng dụng di động, có thể dẫn đến tống tiền, quấy rối và mất mát tài chính”, nhà nghiên cứu bảo mật Fernando Ruiz cho biết trong một phân tích được công bố vào tuần trước.
Các ứng dụng mới được phát hiện này có mục đích cung cấp các khoản vay nhanh với các yêu cầu tối thiểu để thu hút những người dùng không nghi ngờ ở Mexico, Colombia, Senegal, Thái Lan, Indonesia, Việt Nam, Tanzania, Peru và Chile.
Dưới đây là danh sách 15 ứng dụng cho vay nặng lãi. Năm trong số các ứng dụng này vẫn có thể tải xuống từ cửa hàng ứng dụng chính thức được cho là đã thực hiện các thay đổi để tuân thủ các chính sách của Google Play.
  • Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss )
  • Préstamo Rápido-Credit Easy (com.voscp.rapido)
  • ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
  • RupiahKilat-Dana cair (com.rupiahkilat.best)
  • ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
  • người mua – สินเชื่อด่วน (com.hm.happy.money)
  • Tín dụng trực tuyếnKu-Uang (com.kreditku.kuindo)
  • Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
  • Vay tiền mặt-Vay tiền (com.vay.cashloan.cash)
  • RapidFinance (com.restrict.bright.cowboy)
  • PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
  • Tiền Huayna – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
  • IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
  • ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
  • ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Một số ứng dụng này đã được quảng cáo thông qua các bài đăng trên các nền tảng mạng xã hội như Facebook, cho thấy các phương pháp khác nhau mà các tác nhân đe dọa đang sử dụng để lừa nạn nhân dự đoán cài đặt chúng.
SpyLoan là một kẻ tái phạm có từ năm 2020, với một báo cáo từ ESET vào tháng 12 năm 2023 đã phát hiện ra một nhóm 18 ứng dụng khác tìm cách lừa đảo người dùng bằng cách cung cấp cho họ các khoản vay lãi suất cao, đồng thời lén lút thu thập thông tin cá nhân và tài chính của họ.
Mục tiêu cuối cùng của kế hoạch tài chính là thu thập càng nhiều thông tin càng tốt từ các thiết bị bị nhiễm, sau đó có thể dùng thông tin này để tống tiền người dùng bằng cách ép họ trả các khoản vay với lãi suất cao hơn và trong một số trường hợp, trả chậm hoặc đe dọa họ bằng ảnh cá nhân bị đánh cắp.
“Cuối cùng, thay vì cung cấp hỗ trợ tài chính thực sự, các ứng dụng này có thể dẫn người dùng vào vòng xoáy nợ nần và vi phạm quyền riêng tư”, Ruiz cho biết.
Mặc dù có sự khác biệt về mục tiêu, nhưng các ứng dụng này được phát hiện có chung một khuôn khổ để mã hóa và đánh cắp dữ liệu từ thiết bị của nạn nhân đến máy chủ chỉ huy và kiểm soát (C2). Chúng cũng tuân theo quy trình trải nghiệm người dùng và tích hợp tương tự để đăng ký khoản vay.
Hơn nữa, các ứng dụng yêu cầu một số quyền xâm phạm cho phép chúng thu thập thông tin hệ thống, camera, nhật ký cuộc gọi, danh sách liên lạc, vị trí thô và tin nhắn SMS. Việc thu thập dữ liệu được biện minh bằng cách tuyên bố rằng dữ liệu này là bắt buộc như một phần của các biện pháp nhận dạng người dùng và chống gian lận.
Người dùng đăng ký dịch vụ được xác thực thông qua mật khẩu một lần (OTP) để đảm bảo họ có số điện thoại từ khu vực mục tiêu. Họ cũng được yêu cầu cung cấp các tài liệu nhận dạng bổ sung, tài khoản ngân hàng và thông tin nhân viên, tất cả đều được chuyển đến máy chủ C2 ở định dạng được mã hóa bằng AES-128.
Để giảm thiểu rủi ro do các ứng dụng như vậy gây ra, điều cần thiết là phải xem xét quyền ứng dụng, kiểm tra kỹ lưỡng các đánh giá ứng dụng và xác nhận tính hợp pháp của nhà phát triển ứng dụng trước khi tải xuống.
“Mối đe dọa từ các ứng dụng Android như SpyLoan là vấn đề toàn cầu, khai thác lòng tin và sự tuyệt vọng về tài chính của người dùng”, Ruiz cho biết. “Bất chấp các hành động thực thi pháp luật nhằm bắt giữ nhiều nhóm có liên quan đến hoạt động của các ứng dụng SpyLoan, các nhà điều hành mới và tội phạm mạng vẫn tiếp tục khai thác các hoạt động gian lận này”.
“Các ứng dụng SpyLoan hoạt động với mã tương tự ở cấp ứng dụng và C2 trên nhiều châu lục khác nhau. Điều này cho thấy sự hiện diện của một nhà phát triển chung hoặc một khuôn khổ chung đang được bán cho tội phạm mạng. Phương pháp tiếp cận theo mô-đun này cho phép các nhà phát triển này nhanh chóng phân phối các ứng dụng độc hại được thiết kế riêng cho nhiều thị trường khác nhau, khai thác các lỗ hổng cục bộ trong khi vẫn duy trì một mô hình nhất quán để lừa đảo người dùng.”
Admin TABViet

.