BTC $0 0%
ETH $0 0%
BNB $0 0%
SOL $0 0%
XRP $0 0%
ADA $0 0%
TON $0 0%
DOT $0 0%
DOGE$0 0%
SHIBA INU $0 0%
LTC $0 0%
XMR $0 0%
BTC $0 0%
ETH $0 0%
BNB $0 0%
SOL $0 0%
XRP $0 0%
ADA $0 0%
TON $0 0%
DOT $0 0%
DOGE$0 0%
SHIBA INU $0 0%
LTC $0 0%
XMR $0 0%
#offtopic Adatbiztonság

8 millió Android-felhasználót érint egy kártevő a Google Play alkalmazásaiban

katilan, profilkép katilan
2024. december 02. 15:19
8 millió Android-felhasználót érint egy kártevő a Google Play alkalmazásaiban, kiemelt kép
     

Több mint egy tucat rosszindulatú Android-alkalmazást azonosítottak a Google Play Áruházban, amelyek összesen több mint 8 millió letöltéssel rendelkeznek, és a McAfee Labs új kutatásai szerint SpyLoan néven ismert kártevőt tartalmaznak.

„Ezek a PUP (potenciálisan nemkívánatos programok) alkalmazások szociális manipulációs taktikákat használnak, hogy a felhasználókat érzékeny információk megadására és extra mobilalkalmazási engedélyek megadására vegyék rá, ami zsaroláshoz, zaklatáshoz és anyagi veszteségekhez vezethet”mondta Fernando Ruiz biztonsági kutató a napokban közzétett elemzésében.

A célországok és az alkalmazások működése

Az újonnan felfedezett alkalmazások gyors kölcsönöket kínálnak minimális követelményekkel, hogy felkeltsék a gyanútlan felhasználók érdeklődését Mexikóban, Kolumbiában, Szenegálban, Thaiföldön, Indonéziában, Vietnámban, Tanzániában, Peruban és Chilében.

Az alábbiakban felsoroljuk a 15 kizsákmányoló kölcsönalkalmazást. Ezek közül öt még mindig elérhető az áruházban, bár állítólag módosításokat végeztek rajtuk, hogy megfeleljenek a Google Play szabályzatának:

  • Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
  • Préstamo Rápido-Credit Easy (com.voscp.rapido)
  • ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
  • RupiahKilat-Dana cair (com.rupiahkilat.best)
  • ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
  • เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
  • KreditKu-Uang Online (com.kreditku.kuindo)
  • Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
  • Cash Loan-Vay tiền (com.vay.cashloan.cash)
  • RapidFinance (com.restrict.bright.cowboy)
  • PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
  • Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
  • IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
  • ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
  • ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

Néhány ilyen alkalmazást közösségi médiaplatformokon, például a Facebookon keresztül is hirdettek, ami azt mutatja, hogy a fenyegetés színfalai mögött állók különféle módszerekkel próbálják átverni a potenciális áldozatokat.

A SpyLoan nem először bukkan fel: először 2020-ban jelent meg, és az ESET 2023 decemberi jelentése újabb 18 alkalmazást tárt fel, amelyek célja a felhasználók becsapása volt magas kamatozású kölcsönök felajánlásával, miközben titokban gyűjtötték a személyes és a pénzügyi adataikat.

A pénzügyi csalás célja, hogy a lehető legtöbb információt gyűjtsék össze a fertőzött eszközökről, amelyeket ezután a felhasználók zsarolására, magasabb kamatok kifizetésére kényszerítésére, késedelmes fizetések vagy személyes képek eltulajdonítása révén történő megfélemlítésre használnak.

„Ezek az alkalmazások nem nyújtanak valós pénzügyi segítséget, hanem az adósság- és az adatvédelmi problémák ördögi körébe taszítják a felhasználókat” – mondta Ruiz.

Annak ellenére, hogy a célközönség eltérő, az alkalmazások közös keretrendszert használnak az adatok titkosítására és az áldozatok eszközeiből történő kiexportálására egy parancs- és vezérlőszerverre (C2). Emellett hasonló felhasználói élményt és beléptetési folyamatot követnek a kölcsönigényléshez.

Hogyan használják ki az alkalmazások az engedélyeket?

Az alkalmazások számos tolakodó engedélyt kérnek, amelyek lehetővé teszik a rendszerinformációk, a kamera, a hívásnaplók, a névjegyzékek, a hozzávetőleges helymeghatározás és az SMS-üzenetek begyűjtését. Az adatok gyűjtését azzal indokolják, hogy azokra a felhasználói azonosításhoz és csalás elleni intézkedésekhez van szükség.

A szolgáltatásra regisztráló felhasználókat egy egyszeri jelszóval (OTP) érvényesítik, hogy biztosítsák, hogy az adott régióban használják a telefonszámot. Emellett további azonosító dokumentumok, bankszámlák és munkáltatói információk megadására kérik őket, amelyeket később AES-128 titkosítással exportálnak a C2 szerverre.

Az ilyen alkalmazások által jelentett kockázatok mérséklése érdekében elengedhetetlen az alkalmazásengedélyek áttekintése, az alkalmazásértékelések alapos átvizsgálása, valamint az alkalmazásfejlesztő megbízhatóságának ellenőrzése letöltés előtt.

„Az olyan Android-alkalmazások, mint a SpyLoan, globális problémát jelentenek. Ezeket a kiberbűnözők használják arra, hogy kihasználják a felhasználók bizalmát és anyagi kiszolgáltatottságát” – mondta Ruiz. „Bár a bűnüldöző szervek több csoportot is letartóztattak, amelyek SpyLoan alkalmazásokat üzemeltettek, új operátorok és kiberbűnözők továbbra is kihasználják ezeket a csalási tevékenységeket.”

A SpyLoan alkalmazások hasonló kódot használnak az alkalmazás és a C2 szintjén különböző kontinenseken. Ez arra utal, hogy közös fejlesztőről vagy olyan megosztott keretrendszerről van szó, amelyet kiberbűnözőknek árusítanak. Ez a moduláris megközelítés lehetővé teszi ezeknek a fejlesztőknek, hogy gyorsan terjesszék a rosszindulatú alkalmazásokat, amelyek az egyes piacokhoz igazítottak, miközben következetes modellt tartanak fenn a felhasználók megkárosítására.

Címkék:

adathalászat adatvédelem applikáció google kiber kibertámadás közösségi média