Вредоносное приложение SpyLend для Android было загружено из Google Play более 100 000 раз

Вредоносное приложение для Android под названием SpyLend было загружено свыше 100 000 раз с Google Play. Притворяясь финансовым инструментом, оно оказалось мошенническим кредитным сервисом, нацеленным на пользователей в Индии.

Это приложение входит в группу вредоносных Android-приложений под названием «SpyLoan», которые маскируются под законные финансовые инструменты или кредитные сервисы, а на деле крадут данные с устройств для использования в так называемом «кабальном кредитовании».

Эти приложения заманивают пользователей обещаниями быстрого и легкого получения кредита, зачастую требуя минимум документов и предлагая привлекательные условия. Однако после установки они запрашивают чрезмерные разрешения, что позволяет им получать доступ к личным данным: контактам, журналам вызовов, SMS-сообщениям, фотографиям и местоположению устройства.

Собранная таким образом информация затем используется для преследования, вымогательства и шантажа пользователей, особенно если они не выполняют условия возврата кредита, установленные приложением.

Мошенничество с кредитами и вымогательство

Компания по кибербезопасности CYFIRMA обнаружила Android-приложение под названием «Finance Simplified», которое позиционируется как инструмент для управления финансами и уже собрало 100 000 загрузок на Google Play.

Однако, по словам специалистов CYFIRMA, приложение ведет себя особенно агрессивно в таких странах, как Индия, где оно крадет данные с устройств пользователей для использования в кабальном кредитовании. Исследователи также выявили дополнительные вредоносные APK-файлы, являющиеся вариантами той же кампании, а именно KreditApple, PokketMe и StashFur.

Несмотря на то, что приложение уже удалено из Google Play, оно может продолжать работать в фоновом режиме, собирая конфиденциальную информацию с зараженных устройств.

Вредоносное приложение Finance Simplified в Google Play

Множество отзывов о Finance Simplified в Google Play свидетельствуют о том, что приложение предлагает кредитные услуги, при этом пытаясь вымогать деньги у заемщиков, если они не выплачивают высокие проценты.

В одном из отзывов сообщается:

Очень, очень, очень плохое приложение: дали маленькую сумму кредита и шантажировали, требуя выплатить большую сумму, иначе отредактировали фотографии, чтобы они выглядели непристойно, и начали шантажировать.

Чтобы избежать обнаружения в Google Play, Finance Simplified загружает WebView, который перенаправляет пользователей на внешний сайт, откуда скачивается APK-файл кредитного приложения, размещенный на сервере Amazon EC2.

CYFIRMA поясняет:

Похоже, что приложение Finance Simplified нацелено специально на индийских пользователей: оно демонстрирует и рекомендует кредитные приложения, загружая WebView, который отображает кредитный сервис с перенаправлением на внешний сайт, где загружается отдельный APK-файл.

Исследователи обнаружили, что интерфейс с кредитами загружается только если устройство находится в Индии, что указывает на целенаправленность кампании.

Украденные конфиденциальные данные

Особую тревогу вызывает сбор данных, включающий конфиденциальную личную информацию, хранящуюся на устройстве пользователя. Вот перечень данных, которые крадет зловред:

• Контакты, журналы вызовов, SMS-сообщения и сведения об устройстве.
• Фотографии, видео и документы, находящиеся как во внутренней, так и во внешней памяти.
• Отслеживание местоположения в реальном времени (обновляется каждые 3 секунды), исторические данные о местоположении и IP-адрес.
• Последние 20 записей, скопированных в буфер обмена.
• История кредитов и SMS-сообщения с информацией о банковских транзакциях.

Хотя эти данные в первую очередь используются для вымогательства у жертв, взявших кредит, они также могут применяться для финансовых мошенничеств или перепродажи киберпреступникам.

Если вы подозреваете, что ваше устройство было заражено одним из упомянутых приложений или подобными программами, немедленно удалите их, сбросьте все разрешения, измените пароли от банковских аккаунтов и проведите проверку устройства.

Обязательно включите Google Play Защиту — инструмент, который обнаруживает и блокирует известные вредоносные и мошеннические приложения.

Как включить Google Play Защиту на Android?

Google Play Защита — это встроенная система безопасности Android, которая сканирует приложения на наличие вредоносного ПО и предупреждает о возможных угрозах. Вот как её включить:

1. Откройте Google Play Маркет

• Найдите иконку Play Маркета на главном экране или в меню приложений и запустите его.

2. Перейдите в настройки Play Защиты

• Нажмите на значок профиля в правом верхнем углу.
• Выберите «Play Защита».

3. Включите сканирование приложений

• Если Google Play Защита выключена, нажмите «Настройки» (значок шестерёнки).
• Активируйте переключатели «Сканирование приложений с помощью Play Защиты» и «Помочь улучшить защиту».

4. Запустите проверку вручную (по желанию)

• В разделе Play Защиты нажмите «Проверить», чтобы проверить установленные приложения.

После включения Google Play Защита автоматически будет проверять приложения и уведомлять о подозрительных программах.