Експерти з кібербезпеки компанії Cyfirma виявили нову масштабну загрозу – шкідливе програмне забезпечення SpyLend, яке поширювалося через офіційний магазин Google Play під виглядом легітимного фінансового додатку Finance Simplified. Програма, завантажена понад 100 000 разів, використовувалася зловмисниками для реалізації шахрайської схеми SpyLoan, спрямованої на користувачів з Індії.
Принцип дії SpyLend та механізми обману
SpyLend належить до категорії шкідливого ПЗ типу SpyLoan, що маскується під легітимні сервіси кредитування. Зловмисники використовують соціальну інженерію, приваблюючи користувачів обіцянками швидкого схвалення позик на вигідних умовах. Реальна мета таких додатків – збір конфіденційної інформації для подальшого шантажу та реалізації схем хижацького кредитування.
Критичні дозволи та викрадені дані
При встановленні SpyLend запитує розширені привілеї доступу до пристрою, включаючи:
– Використання камери (під приводом KYC-верифікації)
– Доступ до календаря та контактів
– Читання SMS-повідомлень
– Визначення геолокації
– Доступ до даних сенсорів пристрою
Технології обходу систем безпеки Google Play
Для уникнення виявлення системами захисту Google Play, шкідливе ПЗ використовує технологію WebView для перенаправлення користувачів на зовнішній ресурс. Звідти відбувається завантаження додаткового шкідливого APK-файлу, розміщеного на серверах Amazon EC2. Важливо зазначити, що шкідлива активність активується виключно для користувачів з Індії.
Пов’язані шкідливі додатки
Дослідники також виявили інші додатки, що є частиною цієї шкідливої кампанії: KreditApple, PokketMe та StashFur. Усі вони демонструють подібний механізм роботи та спрямовані на викрадення користувацьких даних.
Незважаючи на видалення Finance Simplified з Google Play, додаток може продовжувати функціонувати на заражених пристроях, збираючи конфіденційну інформацію користувачів. Фахівці з кібербезпеки наполегливо рекомендують користувачам ретельно перевіряти всі фінансові додатки перед встановленням, навіть якщо вони розміщені в офіційному магазині. При виявленні ознак підозрілої активності необхідно негайно видалити потенційно небезпечне ПЗ та змінити паролі до всіх важливих облікових записів.
