Oltre una dozzina di app Android malevole identificate nel Google Play Store contengono malware noto come SpyLoan, scaricate complessivamente più di 8 milioni di volte, secondo nuove scoperte di McAfee Labs.
SpyLoan, perché è un malware così subdolo
“Queste applicazioni PUP (programmi potenzialmente indesiderati) utilizzano tattiche di ingegneria sociale per indurre gli utenti a fornire informazioni sensibili e a concedere permessi aggiuntivi alle app mobili, il che può portare a estorsioni, molestie e perdite finanziarie“, ha dichiarato il ricercatore di sicurezza Fernando Ruiz in un’analisi pubblicata la scorsa settimana, riguardo al malware SpyLoan.
Le nuove app scoperte dichiarano di offrire prestiti veloci con requisiti minimi per attirare utenti ignari in Messico, Colombia, Senegal, Thailandia, Indonesia, Vietnam, Tanzania, Perù e Cile.
Le 15 app di prestiti predatori sono elencate di seguito. Cinque di queste app, ancora disponibili per il download dallo store ufficiale, avrebbero apportato modifiche per conformarsi alle politiche di Google Play:
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
- Préstamo Rápido-Credit Easy (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Cash Loan-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Alcune di queste app sono state promosse tramite post su piattaforme social come Facebook, dimostrando i diversi metodi che i malintenzionati utilizzano per convincere le vittime potenziali a installarle.
SpyLoan è tuttavia in giro da molto tempo
SpyLoan è un recidivo che risale al 2020, con un rapporto di ESET del dicembre 2023 che ha scoperto un altro set di 18 app progettate per frodare gli utenti offrendo loro prestiti con tassi d’interesse elevati, raccogliendo nel contempo informazioni personali e finanziarie.
Lo scopo finale di questo schema finanziario è raccogliere il maggior numero possibile di informazioni dai dispositivi infetti, che possono poi essere utilizzate per estorcere gli utenti, costringendoli a ripagare i prestiti con interessi maggiorati o, in alcuni casi, per ritardi nei pagamenti, minacciandoli con foto personali rubate.
“In definitiva, piuttosto che fornire un vero aiuto finanziario, queste app possono spingere gli utenti in un ciclo di debiti e violazioni della privacy“, ha dichiarato Ruiz.
Nonostante le differenze nei bersagli, le app condividono un framework comune per crittografare ed esfiltrare dati da un dispositivo vittima verso un server di comando e controllo (C2). Inoltre, seguono un processo simile per l’esperienza utente e per la registrazione dei prestiti.
Le app richiedono anche numerosi permessi intrusivi che consentono loro di raccogliere informazioni sul sistema, accesso alla fotocamera, registri delle chiamate, liste di contatti, posizione approssimativa e messaggi SMS. La raccolta dei dati è giustificata affermando che è necessaria per l’identificazione dell’utente e per misure antifrode.
Gli utenti che si registrano al servizio vengono validati tramite una password usa e getta (OTP) per assicurarsi che abbiano un numero di telefono nella regione presa di mira; inoltre, vengono sollecitati a fornire documenti di identificazione supplementari, conti bancari e informazioni sul datore di lavoro, tutte successivamente esfiltrate al server C2 in formato crittografato utilizzando AES-128.
Come tutelarsi da SpyLoan o da minacce analoghe
Per mitigare i rischi posti da tali app, è essenziale esaminare i permessi delle app, controllare le recensioni delle app e confermare la legittimità dello sviluppatore dell’app prima di scaricarle.
“La minaccia delle app Android come SpyLoan è un problema globale che sfrutta la fiducia e la disperazione finanziaria degli utenti“, ha detto Ruiz. “Nonostante le azioni delle forze dell’ordine per catturare diversi gruppi legati al funzionamento delle app SpyLoan, nuovi operatori e criminali informatici continuano a sfruttare queste attività fraudolente.”
Le conclusioni di Ruiz sono state le seguenti: “Le app SpyLoan operano con codice simile a livello di app e di C2 in diversi continenti. Questo suggerisce la presenza di un unico sviluppatore o di un framework condiviso venduto ai criminali informatici. Questo approccio modulare consente a questi sviluppatori di distribuire rapidamente app malevole adattate a vari mercati, sfruttando vulnerabilità locali mantenendo un modello consistente per truffare gli utenti.”
