8 triệu người dùng Android bị nhiễm phần mềm độc hại SpyLoan trong các ứng dụng cho vay trên Google Play
8 triệu người dùng Android bị nhiễm phần mềm độc hại SpyLoan trong các ứng dụng cho vay trên Google Play
Hơn một chục ứng dụng Android độc hại được xác định trên Google Play Store đã được tải xuống tổng cộng hơn 8 triệu lần chứa phần mềm độc hại được gọi là SpyLoan.
"Những ứng dụng PUP (chương trình có khả năng không mong muốn) này sử dụng các chiến thuật kỹ thuật xã hội để lừa người dùng cung cấp thông tin nhạy cảm và cấp thêm quyền cho ứng dụng di động, có thể dẫn đến tống tiền, quấy rối và mất mát tài chính", nhà nghiên cứu bảo mật Fernando Ruiz cho biết trong một phân tích được công bố vào tuần trước.
Các ứng dụng mới được phát hiện này được cho là cung cấp các khoản vay nhanh với các yêu cầu tối thiểu để thu hút những người dùng không nghi ngờ ở Mexico, Colombia, Senegal, Thái Lan, Indonesia, Việt Nam, Tanzania, Peru và Chile.
15 ứng dụng cho vay nặng lãi được liệt kê trong danh sách công bố, trong đó có một ứng dụng đến từ Việt Nam - Cash Loan-Vay tiền (com.vay.cashloan.cash). Năm trong số các ứng dụng này vẫn có thể tải xuống từ cửa hàng ứng dụng chính thức được cho là đã thực hiện các thay đổi để tuân thủ các chính sách của Google Play.
Một số ứng dụng này đã được quảng cáo thông qua các bài đăng trên các nền tảng mạng xã hội như Facebook, cho thấy những phương pháp khác nhau mà các tác nhân đe dọa đang sử dụng để lừa nạn nhân tiềm năng cài đặt chúng.
SpyLoan là một kẻ phạm tội tái phạm có từ năm 2020, với một báo cáo từ tổ chức bảo mật vào tháng 12 năm 2023 đã phát hiện ra một nhóm 18 ứng dụng khác tìm cách lừa đảo người dùng bằng cách cung cấp cho họ các khoản vay lãi suất cao, đồng thời lén lút thu thập thông tin cá nhân và tài chính của họ.
Mục tiêu cuối cùng của kế hoạch tài chính là thu thập càng nhiều thông tin càng tốt từ các thiết bị bị nhiễm, sau đó có thể được sử dụng để tống tiền người dùng bằng cách ép họ trả các khoản vay với lãi suất cao hơn và trong một số trường hợp, để trả chậm hoặc đe dọa họ bằng ảnh cá nhân bị đánh cắp.
Ruiz cho biết "Cuối cùng, thay vì cung cấp hỗ trợ tài chính thực sự, những ứng dụng này có thể dẫn người dùng vào vòng xoáy nợ nần và vi phạm quyền riêng tư".
Mặc dù có sự khác biệt trong mục tiêu, các ứng dụng này đã được phát hiện chia sẻ một khuôn khổ chung để mã hóa và đánh cắp dữ liệu từ thiết bị của nạn nhân đến máy chủ chỉ huy và kiểm soát (C2). Họ cũng áp dụng quy trình trải nghiệm người dùng và quy trình tiếp nhận tương tự để đăng ký khoản vay.
Hơn nữa, các ứng dụng yêu cầu một số quyền xâm nhập cho phép chúng thu thập thông tin hệ thống, camera, nhật ký cuộc gọi, danh sách liên lạc, vị trí thô và tin nhắn SMS. Việc thu thập dữ liệu được biện minh bằng cách tuyên bố rằng nó là bắt buộc như một phần của các biện pháp nhận dạng người dùng và chống gian lận.
Người dùng đăng ký dịch vụ được xác thực thông qua mật khẩu một lần (OTP) để đảm bảo họ có số điện thoại từ khu vực mục tiêu. Họ cũng được yêu cầu cung cấp các tài liệu nhận dạng bổ sung, tài khoản ngân hàng và thông tin nhân viên, tất cả đều được chuyển đến máy chủ C2 ở định dạng được mã hóa bằng AES-128.
Để giảm thiểu rủi ro do các ứng dụng như vậy gây ra, điều cần thiết là phải xem xét các quyền của ứng dụng, kiểm tra kỹ lưỡng các đánh giá ứng dụng và xác nhận tính hợp pháp của nhà phát triển ứng dụng trước khi tải xuống.
Ruiz cho biết "Mối đe dọa từ các ứng dụng Android như SpyLoan là vấn đề toàn cầu khai thác lòng tin và sự tuyệt vọng về tài chính của người dùng". "Mặc dù có hành động thực thi pháp luật để bắt giữ nhiều nhóm có liên quan đến hoạt động của các ứng dụng SpyLoan, nhưng những kẻ điều hành và tội phạm mạng mới vẫn tiếp tục khai thác các hoạt động gian lận này."
"Các ứng dụng SpyLoan hoạt động với mã tương tự ở cấp ứng dụng và C2 trên nhiều châu lục khác nhau. Điều này cho thấy sự hiện diện của một nhà phát triển chung hoặc một khuôn khổ chung đang được bán cho tội phạm mạng. Phương pháp tiếp cận theo mô-đun này cho phép các nhà phát triển này nhanh chóng phân phối các ứng dụng độc hại được thiết kế riêng cho nhiều thị trường khác nhau, khai thác các lỗ hổng cục bộ trong khi vẫn duy trì một mô hình nhất quán để lừa đảo người dùng."
Hương – Theo TheHackerNews
Tin liên quan:
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà quảng cáo của Microsoft bằng các quảng cáo Google...
Chi tiếtApple đã phát hành bản cập nhật phần mềm để giải quyết một số lỗi bảo mật trong danh mục đầu tư của mình, bao gồm lỗ hổng zero-day mà công ty cho...
Chi tiếtMột lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong khuôn khổ mô hình ngôn ngữ lớn (LLM) Llama của Meta, nếu khai thác thành công, có thể cho phép...
Chi tiết