Специалисты компании Cyfirma выявили масштабную кампанию по распространению вредоносного ПО SpyLend через официальный магазин Google Play. Вредоносное приложение, замаскированное под финансовый инструмент Finance Simplified, было загружено более 100 000 раз и использовалось злоумышленниками для реализации мошеннической схемы SpyLoan в Индии.
Механизм работы SpyLend и признаки заражения
SpyLend относится к категории вредоносного ПО типа SpyLoan, которое маскируется под легитимные финансовые сервисы. Злоумышленники привлекают пользователей обещаниями быстрого одобрения кредитов на выгодных условиях. Однако реальная цель этих приложений – сбор конфиденциальных данных для последующего шантажа и реализации схем хищнического кредитования.
Опасные разрешения и похищаемые данные
При установке SpyLend запрашивает расширенные привилегии доступа, включая:
— Использование камеры (под предлогом KYC-верификации)
— Доступ к календарю и контактам
— Чтение SMS-сообщений
— Определение геолокации
— Доступ к данным сенсоров устройства
Методы обхода защиты Google Play
Для избежания обнаружения системами безопасности Google Play, вредонос использует технологию WebView для перенаправления пользователей на внешний ресурс. Оттуда происходит загрузка дополнительного вредоносного APK-файла, размещенного на серверах Amazon EC2. Важно отметить, что вредоносная активность активируется только для пользователей из Индии.
Связанные вредоносные приложения
Исследователи также обнаружили другие приложения, являющиеся частью той же вредоносной кампании: KreditApple, PokketMe и StashFur. Все они демонстрируют схожий механизм работы и нацелены на кражу пользовательских данных.
Несмотря на удаление Finance Simplified из Google Play, приложение может продолжать функционировать на зараженных устройствах, собирая конфиденциальную информацию пользователей. Эксперты рекомендуют пользователям тщательно проверять все финансовые приложения перед установкой, даже если они размещены в официальном магазине, и немедленно удалять подозрительное ПО при обнаружении признаков вредоносной активности.
