Desde o início de 2023, os pesquisadores da ESET observaram um crescimento alarmante de aplicativos de empréstimo enganosos para Android que se apresentam como serviços legítimos de empréstimo pessoal, prometendo acesso rápido e fácil aos fundos.

Apesar de sua aparência atraente, esses serviços são, na verdade, projetados para enganar os usuários, oferecendo-lhes empréstimos com altas taxas de juros apoiados por descrições enganosas, enquanto coletam as informações pessoais e financeiras de suas vítimas para chantageá-las e, no final, obter seus fundos. Os produtos da ESET, portanto, reconhecem esses aplicativos usando o nome de detecção SpyLoan, que é uma referência direta à sua funcionalidade de spyware combinada com as reivindicações de empréstimo.

Pontos principais do post do blog:

  • Os aplicativos analisados pelos pesquisadores da ESET solicitam várias informações confidenciais de seus usuários e as exfiltram para os servidores dos atacantes.
  • >Esses dados são então usados para assediar e chantagear os usuários desses aplicativos e, de acordo com o feedback dos usuários, mesmo que nenhum empréstimo tenha sido concedido
  • A telemetria da ESET mostra um crescimento notável desses aplicativos em lojas de aplicativos de terceiros não oficiais, no Google Play e em sites desde o início de 2023.
  • Os aplicativos maliciosos de empréstimo têm como alvo potenciais tomadores de empréstimos no Sudeste Asiático, na África e na América Latina.
  • Todos esses serviços operam exclusivamente por meio de aplicativos móveis, pois os invasores podem acessar todos os dados confidenciais do usuário armazenados no smartphone, algo que eles não poderiam fazer por meio de navegadores.
SpyLoan-detections.trend
Figura 1. tendência de detecção do SpyLoan, média móvel de sete dias

Informações gerais

A ESET é membro da App Defense Alliance e um parceiro ativo no programa de mitigação de malware, que tem como objetivo encontrar rapidamente aplicativos potencialmente prejudiciais (PHA) e detê-los antes que cheguem ao Google Play.

Todos os aplicativos SpyLoan descritos neste artigo e mencionados na seção IoC são comercializados por meio de redes sociais e mensagens SMS, e podem ser baixados de sites dedicados a golpes e lojas de aplicativos de terceiros. Todos esses aplicativos também estavam disponíveis no Google Play. Como parceiro da Google App Defense Alliance, a ESET identificou 18 aplicativos SpyLoan e os reportou ao Google, que posteriormente removeu 17 deles de sua plataforma. Antes de sua remoção, esses aplicativos tinham um total de mais de 12 milhões de downloads no Google Play. O último aplicativo identificado pela ESET ainda está disponível no Google Play, mas como seus desenvolvedores alteraram suas permissões e funcionalidades, não o detectamos mais como um aplicativo SpyLoan.

É importante observar que cada instância de um determinado aplicativo SpyLoan, independentemente de sua origem, comporta-se de forma idêntica devido ao seu código subjacente idêntico. Simplificando, se os usuários fizerem o download de um aplicativo específico, eles experimentarão as mesmas funções e enfrentarão os mesmos riscos, independentemente de onde obtiveram o aplicativo. Não importa se o download vem de um site suspeito, de uma loja de aplicativos de terceiros ou até mesmo do Google Play: o comportamento do aplicativo será o mesmo em todos os casos.

Nenhum desses serviços oferece a opção de solicitar um empréstimo usando um site, porque por meio de um navegador os extorsionários não podem acessar todos os dados confidenciais do usuário armazenados em um smartphone que são necessários para a chantagem.

Nesta postagem do blog, descrevemos o mecanismo dos aplicativos SpyLoan e as várias técnicas enganosas que eles usam para contornar as políticas do Google Play e enganar e fraudar os usuários. Também compartilhamos as medidas que as vítimas podem tomar caso tenham caído nesse golpe e várias recomendações sobre como distinguir entre aplicativos de empréstimo maliciosos e legítimos para que os possíveis tomadores de empréstimo possam se proteger.

Vitimologia

De acordo com a telemetria da ESET, os aplicadores desses aplicativos operam principalmente no México, Indonésia, Tailândia, Vietnã, Índia, Paquistão, Colômbia, Peru, Filipinas, Egito, Quênia, Nigéria e Cingapura (veja o mapa na Figura 2). Todos esses países têm várias leis que regulamentam os empréstimos privados, não apenas seus tipos, mas também a transparência de sua comunicação; no entanto, não sabemos até que ponto elas são aplicadas com sucesso. Acreditamos que qualquer detecção fora desses países esteja relacionada a smartphones que tenham, por vários motivos, acesso a um número de telefone registrado em um desses países.

Até o momento em que este artigo foi escrito, não vimos nenhuma campanha ativa direcionada a países europeus, aos Estados Unidos ou ao Canadá.

Figure 2 Heatmap of SpyLoan detections
Figura 2. Mapa de calor das detecções do SpyLoan observadas na telemetria da ESET entre 1º de janeiro de 2023 e 30 de novembro de 2023

Análise técnica

Acesso antecipado

A ESET Research rastreou as origens do esquema SpyLoan em 2020. Naquela época, esses aplicativos apresentavam apenas casos isolados que não atraíam a atenção dos pesquisadores; no entanto, a presença de aplicativos de empréstimo maliciosos continuou a crescer e, eventualmente, começamos a detectá-los no Google Play, na App Store da Apple e em sites de golpes. As Figuras 3 e 4 mostram capturas de tela de um desses exemplos. Essa abordagem multiplataforma maximizou seu alcance e aumentou o potencial de envolvimento do usuário, embora esses aplicativos tenham sido posteriormente removidos de ambas as lojas oficiais de aplicativos.

Figure 3 Apps that were available on official stores for iOS and Android in 2020
Aplicações disponíveis nas lojas oficiais de aplicações para iOS (esquerda) e Android (direita) em 2020

Figure 4 Dedicated scam website
Figura 4. Website dedicado a esquemas de fraude

No início de 2022, a ESET entrou em contato com o Google Play para notificar a plataforma sobre mais de 20 aplicativos de empréstimo maliciosos que tinham mais de 9 milhões de downloads coletivos. Após nossa intervenção, a empresa removeu esses aplicativos de sua plataforma. A empresa de segurança Lookout identificou 251 aplicativos Android no Google Play e 35 aplicativos iOS na App Store da Apple que exibiam comportamento predatório. De acordo com a Lookout, eles entraram em contato com o Google e a Apple a respeito dos aplicativos identificados e, em novembro de 2022, publicaram um post no blog sobre esses aplicativos. O Google já havia identificado e removido a maioria dos aplicativos de empréstimo maliciosos antes da publicação da pesquisa da Lookout, e dois dos aplicativos identificados foram removidos do Google Play pelo desenvolvedor. Juntos, esses aplicativos no Google Play tiveram mais de 15 milhões de downloads; a Apple também removeu os aplicativos identificados.

De acordo com a telemetria da ESET, as detecções do SpyLoan começaram a aumentar novamente em janeiro de 2023 e, desde então, continuaram a crescer ainda mais em lojas de aplicativos de terceiros não oficiais, no Google Play e em sites.

Em seu resumo de segurança de 2022, o Google descreveu como a empresa manteve os usuários do Android e do Google Play seguros ao implementar novos requisitos para aplicativos de empréstimo pessoal em várias regiões. Conforme documentado, ao longo dos últimos três anos, a situação evoluiu e o Google Play fez várias alterações em suas políticas de aplicativos de empréstimo pessoal - com requisitos específicos de cada país na Índia, Indonésia, Filipinas, Nigéria, Quênia, Paquistão e Tailândia - e cancelou a publicação de muitos aplicativos de empréstimo maliciosos.

Para atrair as vítimas, os criminosos promovem ativamente esses aplicativos maliciosos com mensagens SMS e em redes sociais populares, como Twitter, Facebook e YouTube. Ao aproveitar essa enorme base de usuários, os fraudadores pretendem atrair vítimas desavisadas que precisam de ajuda financeira.

Embora esse esquema não seja usado em todos os aplicativos SpyLoan que analisamos, outro aspecto alarmante de alguns aplicativos SpyLoan é a personificação de provedores de serviços financeiros e de empréstimos respeitáveis, usando indevidamente os nomes e as marcas de entidades legítimas. Para ajudar a conscientizar as vítimas em potencial, alguns serviços financeiros legítimos até alertaram sobre os aplicativos SpyLoan nas mídias sociais, como pode ser visto na Figura 5.

Figure 5 RapiCredit warned potential borrowers about a malicious loan app
Figura 5: O RapiCredit alertou os possíveis mutuários sobre um pedido de empréstimo malicioso

Conjunto de ferramentas

Depois que o usuário instala um aplicativo SpyLoan, ele é solicitado a aceitar os termos de serviço e a conceder permissões extensivas para acessar dados confidenciais armazenados no dispositivo. Em seguida, o aplicativo solicita que o usuário se registre, o que normalmente é feito por meio de verificação de senha única por SMS para validar o número de telefone da vítima.

Esses formulários de registro selecionam automaticamente o código do país com base no código do país do número de telefone da vítima, garantindo que somente as pessoas com números de telefone registrados no país de destino possam criar uma conta, conforme mostrado na Figura 6.

Figure 6 Phone number registration
Figura 6. Registro do número de telefone com códigos de país pré-selecionados

Depois que o número de telefone é verificado, os usuários acessam a função de solicitação de empréstimo do aplicativo. Para concluir o processo de solicitação de empréstimo, os usuários precisam fornecer uma grande quantidade de informações pessoais, incluindo detalhes de endereço, informações de contato, comprovante de renda, informações de conta bancária e até mesmo carregar fotos da frente e do verso de seus documentos de identidade e uma selfie, conforme mostrado na Figura 7.

Figure 7 Apps request sensitive data from the user
Figura 7. Aplicações que solicitam dados sensíveis ao utilizador

Depois que o número de telefone é verificado, os usuários acessam a função de solicitação de empréstimo do aplicativo. Para concluir o processo de solicitação de empréstimo, os usuários precisam fornecer uma grande quantidade de informações pessoais, incluindo detalhes de endereço, informações de contato, comprovante de renda, informações de conta bancária e até mesmo carregar fotos da frente e do verso de seus documentos de identidade e uma selfie, conforme mostrado na Figura 7.

Os aplicativos SpyLoan representam uma ameaça significativa ao extrair furtivamente uma ampla gama de informações pessoais de usuários desavisados: esses aplicativos são capazes de enviar dados confidenciais para seus servidores de comando e controle (C&C). Os dados normalmente vazados incluem listas de contas, registros de chamadas, eventos de calendário, informações sobre o dispositivo, listas de aplicativos instalados, informações sobre a rede Wi-Fi local e até mesmo informações sobre arquivos no dispositivo (como metadados Exif de imagens sem realmente enviar as próprias fotos). Além disso, listas de contatos, dados de localização e mensagens SMS também são vulneráveis. Para proteger suas atividades, os criminosos criptografam todos os dados roubados antes de transmiti-los ao servidor C&C.

À medida que os aplicativos SpyLoan evoluíram, seu código malicioso tornou-se mais sofisticado. Nas versões anteriores, a funcionalidade maliciosa do malware não estava oculta ou protegida; no entanto, as versões posteriores incorporaram algumas técnicas mais avançadas, como ofuscação de código, cadeias criptografadas e comunicação C&C criptografada para ocultar suas atividades maliciosas. Para uma compreensão mais detalhada desses aprimoramentos, consulte a Figura 8 e a Figura 9.

Figure 8 Code responsible for data exfiltration
Figura 8: Código responsável pela violação de dados numa versão anterior do SpyLoan

 

Figure 9 Slightly obfuscated code
Figura 9: Código ligeiramente ofuscado responsável pela violação de dados numa versão recente do SpyLoan

Em 31 de maio de 2023, políticas adicionais começaram a ser aplicadas a aplicativos de empréstimo no Google Play, declarando que esses aplicativos estão proibidos de solicitar permissão para acessar dados confidenciais, como imagens, vídeos, contatos, números de telefone, localização e dados de armazenamento externo. Aparentemente, essa política atualizada não teve um efeito imediato sobre os aplicativos existentes, pois a maioria dos aplicativos que relatamos ainda estava disponível na plataforma (incluindo suas extensas permissões) depois que a política começou a ser aplicada, conforme mostrado na Figura 10. No entanto, conforme mencionado acima, o Google posteriormente cancelou a publicação desses aplicativos.

Figure 10 Example of the broad permissions
Figura 10. Exemplo das extensas permissões que as aplicações SpyLoan solicitam aos seus usuários

Consequências

Depois que o aplicativo é instalado e os dados pessoais coletados, seus implementadores começam a assediar e chantagear suas vítimas para que façam pagamentos, mesmo que - de acordo com as avaliações - o usuário não tenha solicitado o empréstimo ou tenha solicitado, mas não tenha sido aprovado. Tais práticas foram descritas em avaliações desses aplicativos no Facebook e no Google Play, conforme mostrado na Figura 11 (mencionando inclusive ameaças de morte), Figura 12 (tradução automática parcial: Is the debt you owe worth your peace of mind and that of your loved ones? Você realmente quer colocar sua segurança em risco? Você está disposto a arcar com as consequências? Você pode se meter em muitos problemas e poupar a si mesmo e às pessoas ao seu redor de uma experiência ruim), e Figura 13.

Figure 11 Reviewers
Figura 11. Os revisores destas candidaturas afirmam ter sido assediados e ameaçados, alguns deles mesmo sem terem recebido um empréstimo

Figure 12 Threatening message
Figura 12. Mensagem ameaçadora recebida por uma vítima e depois publicada no Facebook

Figure 13 Reviewers claims

Figura 13. Estes usuários afirmam que ou não pediram um empréstimo e continuam a ser chantageados e ameaçados, ou não obtiveram um empréstimo mas a aplicação pede-lhes que o paguem

Além da coleta de dados e da chantagem, esses serviços apresentam uma forma de usura digital moderna, que se refere à cobrança de taxas de juros excessivas sobre empréstimos, tirando proveito de pessoas vulneráveis com necessidades financeiras urgentes ou de mutuários que têm acesso limitado a instituições financeiras convencionais. Um usuário criticou negativamente (veja a Figura 14) um aplicativo SpyLoan não porque o assediava, mas porque ele já havia solicitado um empréstimo há quatro dias, mas nada havia acontecido e ele precisava de dinheiro para remédios.

Figure 14 Review claiming delay

Figura 14. Reclamação de um usuário sobre o atraso na aprovação de sua solicitação

A usura é geralmente considerada tão antiética que é condenada em vários textos religiosos e é regulamentada por leis para proteger os mutuários de tais práticas predatórias. Entretanto, é importante observar que um contrato de empréstimo padrão não é considerado usura se os juros forem fixados em uma taxa razoável e seguirem as diretrizes legais.

Razões para o rápido crescimento

Há vários motivos para o rápido crescimento dos aplicativos SpyLoan. Um deles é que os desenvolvedores desses aplicativos são inspirados por serviços bem-sucedidos de FinTech (tecnologia financeira), que aproveitam a tecnologia para oferecer serviços financeiros ágeis e fáceis de usar. Os aplicativos e as plataformas FinTech são conhecidos por revolucionar o setor financeiro tradicional, oferecendo conveniência em termos de acessibilidade, permitindo que as pessoas, de forma amigável, realizem várias atividades financeiras a qualquer hora e em qualquer lugar, usando apenas seus smartphones. Por outro lado, a única coisa que os aplicativos SpyLoan perturbam é a confiança na tecnologia, nas instituições financeiras e em entidades semelhantes.

Outro motivo para seu crescimento foi observado na análise da Zimperium sobre como os agentes mal-intencionados se aproveitaram da estrutura do Flutter e a usaram para desenvolver aplicativos de empréstimo mal-intencionados. O Flutter é um kit de desenvolvimento de software (SDK) de código aberto projetado para criar aplicativos multiplataforma que podem ser executados em várias plataformas, como Android, iOS, Web e Windows. Desde seu lançamento em dezembro de 2018, o Flutter tem desempenhado um papel importante ao facilitar o desenvolvimento de novos aplicativos móveis e impulsionar sua introdução no mercado.

Embora somente os desenvolvedores de aplicativos possam confirmar com certeza se usaram o Flutter para programar seus aplicativos ou partes deles, dos 17 aplicativos que informamos ao Google, três deles contêm bibliotecas específicas do Flutter ou extensões .dart, que se referem à linguagem de programação Dart do Flutter. Isso indica que pelo menos alguns dos invasores estão usando ferramentas benignas de terceiros para facilitar o desenvolvimento de seus aplicativos maliciosos.

Técnicas de comunicação enganosas

Os aplicativos de empréstimo mal-intencionados geralmente usam palavras e elementos de design que se assemelham muito aos dos aplicativos de empréstimo legítimos. Essa semelhança intencional dificulta que os usuários comuns determinem a autenticidade de um aplicativo, especialmente quando há termos financeiros e jurídicos envolvidos. As comunicações enganosas implantadas por esses aplicativos são divididas em várias camadas.

Descrição oficial do Google Play

Para entrar no Google Play e ser publicado na plataforma, todos os aplicativos SpyLoan que analisamos forneceram uma descrição que, em sua maior parte, parece estar em conformidade não apenas com os requisitos do Google Play, mas também parece cobrir os requisitos legais locais; alguns aplicativos até afirmaram ser empresas financeiras não bancárias registradas. No entanto, as transações no local e as práticas comerciais - conforme evidenciado pelos comentários dos usuários e outros relatórios - realizadas pelos desenvolvedores desses aplicativos não atendiam aos padrões explicitamente declarados por eles.

Em geral, os aplicativos SpyLoan declaram abertamente quais permissões são solicitadas, afirmam estar devidamente licenciados e fornecem a faixa da taxa percentual anual de cobrança (que está sempre dentro do limite legal definido pela legislação local de usura ou similar). A taxa anual de encargos percentuais (APR) descreve e inclui a taxa de juros e determinadas taxas ou encargos associados ao empréstimo, como taxas de originação, taxas de processamento ou outros encargos financeiros. Em muitos países, ela é limitada legalmente e, por exemplo, no caso de provedores de empréstimos pessoais nos EUA, o Google limitou a APR a 36%.

O custo anual total (TAC) vai além da APR e inclui não apenas a taxa de juros e as tarifas, mas também outros custos, como prêmios de seguro ou despesas adicionais relacionadas ao empréstimo. Portanto, o TAC fornece aos mutuários uma estimativa mais precisa do compromisso financeiro total exigido para o empréstimo, incluindo todos os custos associados. Como alguns países da América Latina exigem que os provedores de empréstimo divulguem o TAC, os aplicativos SpyLoan comercializados nessa região revelaram o verdadeiro alto custo de seus empréstimos com TACs entre 160% e 340%, conforme mostrado na Figura 15.

Figure 15 Apps claimed shortest loan tenure
Figura 15. Aplicações alegam prazo de empréstimo mais curto de 91 dias

As descrições dos aplicativos também incluíam a duração dos empréstimos pessoais, que é definida pelo provedor do empréstimo e, de acordo com a política de serviços financeiros do Google, não pode ser inferior a 60 dias. A duração do empréstimo representa o período em que se espera que o mutuário pague os fundos emprestados e todos os custos associados ao credor. Os aplicativos que examinamos tinham uma duração fixa entre 91 e 360 dias (veja a Figura 15); no entanto, os clientes que enviaram comentários ao Google Play (veja a Figura 16) reclamaram que a duração era significativamente mais curta e que as taxas de juros eram altas. Observando o terceiro exemplo de feedback na Figura 16, os juros (549 pesos) eram mais altos do que o empréstimo real (450 pesos), e o empréstimo junto com os juros (999 pesos) deveria ter sido pago em 5 dias, violando as políticas de duração de empréstimo do Google.

Figure 16 Borrowers complaints

Figura 16. Os usuários queixaram-se de que a duração dos seus empréstimos era de apenas sete a cinco dias

Política de privacidade

Por mandato da política de desenvolvedor do Google Play e de acordo com as regras do Know Your Customer (KYC), os desenvolvedores que desejam colocar seus aplicativos no Google Play devem fornecer uma política de privacidade válida e de fácil acesso. Essa política deve abranger aspectos como os tipos de dados coletados, como eles são usados, com quem podem ser compartilhados, as medidas de segurança em vigor para proteger os dados dos usuários e como os usuários podem exercer seus direitos em relação aos seus dados. Isso é semelhante às diretrizes KYC, que exigem transparência no uso e na proteção dos dados. Os requisitos de KYC para a coleta de dados normalmente incluem a coleta de informações pessoais, como nome completo, data de nascimento, endereço, detalhes de contato e um número ou documento de identificação emitido pelo governo. No contexto dos serviços financeiros, isso também pode envolver a coleta de dados sobre status de emprego, fonte de renda, histórico de crédito e outras informações relevantes para avaliar a capacidade de crédito.

Embora uma política de privacidade seja um documento legal, ela pode ser gerada automaticamente de forma muito simples: há muitos geradores de política de privacidade gratuitos que podem gerar esse documento depois que o desenvolvedor do aplicativo insere dados básicos, como o nome do aplicativo, a empresa por trás dele e os dados que o aplicativo coleta. Isso significa que é bastante simples criar uma política de privacidade que pareça autêntica para o cidadão comum.

Em total contraste com as regras KYC, os aplicativos SpyLoan que identificamos usavam táticas enganosas em suas políticas de privacidade. Eles alegavam precisar de permissão para acessar arquivos de mídia "para realizar uma avaliação de risco", permissão de armazenamento "para ajudar a arquivar documentos", acesso a dados de SMS que eles diziam estar relacionados apenas a transações financeiras "para identificá-lo corretamente", acesso ao calendário "para agendar datas de pagamento e lembretes", permissão de câmera "para ajudar os usuários a carregar as fotos necessárias" e permissão de registro de chamadas "para confirmar que nosso aplicativo está instalado em seu próprio telefone". Na realidade, de acordo com as regras KYC, a verificação de identidade e a avaliação de risco poderiam ser realizadas usando métodos de coleta de dados muito menos intrusivos. Como mencionado acima, de acordo com as políticas de privacidade desses aplicativos, se essas permissões não forem concedidas ao aplicativo, o serviço e, portanto, o empréstimo, não serão fornecidos. A verdade é que esses aplicativos não precisam de todas essas permissões, pois todos esses dados podem ser carregados no aplicativo com uma única permissão que só tem acesso às fotos e aos documentos selecionados, e não a todos eles; uma solicitação de calendário pode ser enviada ao destinatário do empréstimo por e-mail e a permissão para acessar os registros de chamadas é totalmente desnecessária.

Algumas políticas de privacidade eram extremamente contraditórias em sua redação. Por um lado, elas listavam motivos enganosos para a coleta de dados pessoais e, por outro, afirmavam que nenhum dado pessoal sensível era coletado, conforme mostrado na Figura 17. Isso é contra as regras do KYC. Isso vai contra as regras da KYC, que exigem uma comunicação honesta e transparente sobre a coleta e o uso de dados, inclusive os tipos específicos de dados mencionados acima.

Figure 17 Contradictory claims
Figura 17. Declarações contraditórias numa política de privacidade

Acreditamos que o objetivo real dessas permissões é espionar os usuários desses aplicativos e assediá-los e chantageá-los e a seus contatos.

Outra política de privacidade revela que o aplicativo que oferece empréstimos a egípcios é administrado pela SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI. De acordo com a Autoridade Geral Egípcia para Investimentos e Zonas Francas, essa empresa não está registrada no Egito; no entanto, nós a encontramos na lista de dezenas de plataformas ilegais de empréstimos peer-to-peer alertadas pela Força-Tarefa de Alerta de Investimentos da Indonésia em janeiro de 2021.

Em conclusão, embora esses aplicativos SpyLoan estejam tecnicamente em conformidade com os requisitos de ter uma política de privacidade, suas práticas claramente vão além do escopo da coleta de dados necessária para fornecer serviços financeiros e cumprir as regras bancárias KYC. De acordo com as regras da KYC, os aplicativos de empréstimo legítimos solicitam apenas os dados pessoais necessários para verificar a identidade e a capacidade de crédito e não solicitam acesso a dados não relacionados, como arquivos de mídia ou entradas de calendário. Em geral, é importante que os usuários estejam cientes de seus direitos e tenham cuidado com as permissões que concedem a qualquer aplicativo. Isso inclui estar ciente das regras estabelecidas pelas normas bancárias KYC, que foram criadas não apenas para proteger as instituições financeiras contra fraudes e outras atividades ilegais, mas também os dados pessoais e as transações financeiras de seus usuários.

s contra fraudes e outras atividades ilegais, mas também os dados pessoais e as transações financeiras de seus usuários.

Sites

Alguns desses aplicativos tinham sites oficiais que ajudavam a criar a ilusão de um provedor de empréstimo pessoal estabelecido e focado no cliente, continham um link para o Google Play e outras informações simples e genéricas que eram semelhantes à descrição fornecida pelo desenvolvedor no Google Play, antes de o aplicativo ser removido. Em geral, eles não revelavam o nome da empresa por trás do aplicativo. No entanto, um dos vários sites que analisamos foi além e continha detalhes de vagas de emprego, imagens de um ambiente de escritório confortável e fotos da diretoria, todas roubadas de outros sites.

As vagas de emprego foram copiadas de outras empresas e apenas ligeiramente modificadas. Na vaga copiada da Instahyre, uma plataforma de recrutamento sediada na Índia, e mostrada na Figura 18, apenas a linha "Bom conhecimento da Ameyo" foi reposicionada no texto.

As três imagens do ambiente de escritório mostradas na Figura 19 foram copiadas de duas empresas: as fotos do escritório e do playground são do PaywithRing, um aplicativo de pagamento indiano com milhões de clientes, e a foto da equipe é do The Better India, uma plataforma de mídia digital indiana.

Figure 19 Office environment photos
Figura 19. Fotos do ambiente de escritório roubadas de sites de outras empresas

Os membros da diretoria correspondem aos nomes associados à empresa que alega estar por trás desse aplicativo específico, mas as imagens usadas no site (mostradas na Figura 20) mostravam três modelos diferentes de fotos de banco de imagens, e o site não indicava que essas imagens eram apenas para fins ilustrativos.

Figure 20 Pictures showcasing the Board of Directors
Figura 20: As fotografias do Conselho de Administração eram claramente imagens de arquivo: a primeira era da Freepik, a segunda de outros sites e a terceira estava disponível na Getty Images

Embora seja fácil fazer uma pesquisa reversa de imagens no Google para encontrar a fonte dessas imagens em um navegador de desktop, é importante observar que isso é muito mais difícil de ser feito em um telefone. Conforme observado acima, os provedores desses aplicativos se concentram apenas nos possíveis mutuários que desejam usar um telefone celular para obter um empréstimo.

Aplicativos de empréstimo legítimos vs. mal-intencionados: como diferenciá-los

Conforme mencionado na seção Técnicas de comunicação enganosas, mesmo que o aplicativo ou a empresa por trás dele afirme ser um provedor de empréstimo aprovado, isso não garante automaticamente sua legitimidade ou práticas éticas: ele ainda pode enganar os clientes em potencial por meio do uso de táticas enganosas e informações enganosas sobre os termos do empréstimo. Como a Lookout mencionou, solicitar um empréstimo de instituições estabelecidas pode parecer o melhor conselho para os mutuários em potencial, mas os aplicativos SpyLoan dificultam muito a distinção entre eles e as organizações financeiras padrão e alguns mutuários não têm acesso a instituições financeiras tradicionais. Portanto, é essencial abordar os pedidos de empréstimo com cautela e tomar medidas adicionais para garantir sua credibilidade, pois sua instalação pode ter um impacto muito negativo na situação financeira do mutuário.

.

Limitar-se a fontes oficiais e usar um aplicativo de segurança deve ser suficiente para detectar um aplicativo de empréstimo mal-intencionado; no entanto, há medidas adicionais que os usuários podem empregar para se proteger:

  • Use fontes oficiais: Os usuários do Android devem evitar a instalação de aplicativos de empréstimo de fontes não oficiais e lojas de aplicativos de terceiros, e se ater a plataformas confiáveis, como o Google Play, que têm processos de revisão de aplicativos e medidas de segurança em vigor. Embora isso não garanta proteção total, reduz o risco de encontrar aplicativos de empréstimo desonestos.
  • Use um aplicativo de segurança: Um aplicativo de segurança confiável para Android protege o usuário contra aplicativos de empréstimo mal-intencionados e malware. Os aplicativos de segurança fornecem uma camada adicional de proteção, verificando e identificando aplicativos potencialmente prejudiciais, detectando malware e alertando os usuários sobre atividades suspeitas. Os aplicativos de empréstimo maliciosos mencionados neste post são detectados pelos produtos da ESET como Android/SpyLoan, Android/Spy.KreditSpy ou uma variante do Android/Spy.Agent.
  • Revisão da triagem: Ao baixar aplicativos do Google Play, é importante prestar muita atenção às avaliações dos usuários (elas podem não estar disponíveis em lojas não oficiais). É fundamental estar ciente de que as avaliações positivas podem ser falsificadas ou até mesmo extorquidas de vítimas anteriores para aumentar a credibilidade de aplicativos fraudulentos. Em vez disso, os tomadores de empréstimo devem se concentrar nas avaliações negativas e avaliar cuidadosamente as preocupações levantadas pelos usuários, pois elas podem revelar informações importantes, como táticas de extorsão e o custo real cobrado pelo provedor de empréstimo.
  • Política de privacidade e revisão do acesso aos dados: Antes de instalar um aplicativo de empréstimo, os usuários devem ler sua política de privacidade, se disponível. Esse documento geralmente contém informações valiosas sobre como o aplicativo acessa e armazena informações confidenciais. No entanto, os golpistas podem usar cláusulas enganosas ou linguagem vaga para induzir os usuários a conceder permissões desnecessárias ou compartilhar dados pessoais. Durante a instalação, é importante prestar atenção aos dados aos quais o aplicativo está solicitando acesso e perguntar se os dados solicitados são necessários para a funcionalidade do aplicativo de empréstimo, como contatos, mensagens, fotos, arquivos e eventos de calendário.
  • Se a prevenção não funcionar: Há vários caminhos pelos quais as pessoas podem buscar ajuda e tomar providências se forem vítimas de predadores digitais. As vítimas devem denunciar o incidente às autoridades policiais ou judiciais competentes de seu país, entrar em contato com os órgãos de proteção ao consumidor e alertar a instituição que rege os termos dos empréstimos privados; na maioria dos países, esse é o banco nacional ou seu equivalente. Quanto mais alertas essas instituições receberem, maior será a probabilidade de elas tomarem providências. Se o aplicativo de empréstimo enganoso tiver sido obtido por meio do Google Play, os indivíduos poderão procurar ajuda no helpdesk do Google Play, onde poderão denunciar o aplicativo e solicitar a remoção de seus dados pessoais associados a ele. No entanto, é importante observar que os dados podem já ter sido extraídos para o servidor de C&C do invasor.

Conclusão

Mesmo após vários recalls, os aplicativos SpyLoan continuam a aparecer no Google Play e servem como um importante lembrete dos riscos que os mutuários enfrentam ao buscar serviços financeiros on-line. Esses aplicativos maliciosos se aproveitam da confiança que os usuários depositam em provedores de empréstimos legítimos, usando técnicas sofisticadas para enganar e roubar uma ampla gama de informações pessoais.

É fundamental que os indivíduos tenham cautela, validem a autenticidade de qualquer aplicativo ou serviço financeiro e confiem em fontes confiáveis. Mantendo-se informados e vigilantes, os usuários podem se proteger melhor para não serem vítimas desses golpes.

IoCs

Arquivos

SHA-1

Filename

Detection

Description

136067AC519C23EF7B9E8EB788D1F5366CCC5045

com.aa.kredit.android.apk

Android/SpyLoan.AN

SpyLoan malware.

C0A6755FF0CCA3F13E3C9980D68B77A835B15E89

com.amorcash.credito.prestamo.apk

Android/SpyLoan.BE

SpyLoan malware.

0951252E7052AB86208B4F42EB61FC40CA8A6E29

com.app.lo.go.apk

Android/Spy.Agent.CMO

SpyLoan malware.

B4B43FD2E15FF54F8954BAC6EA69634701A96B96

com.cashwow.cow.eg.apk

Android/Spy.Agent.EY

SpyLoan malware.

D5104BB07965963B1B08731E22F00A5227C82AF5

com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk

Android/Spy.Agent.CLK

SpyLoan malware.

F79D612398C1948DDC8C757F9892EFBE3D3F585D

com.flashloan.wsft.apk

Android/Spy.Agent.CNB

SpyLoan malware.

C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC

com.guayaba.cash.okredito.mx.tala.apk

Android/Spy.Agent.CLK

SpyLoan malware.

E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534

com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk

Android/SpyLoan.EZ

SpyLoan malware.

9C430EBA0E50BD1395BB2E0D9DDED9A789138B46

com.mlo.xango.apk

Android/Spy.Agent.CNA

SpyLoan malware.

6DC453125C90E3FA53988288317E303038DB3AC6

com.mmp.optima.apk

Android/Spy.Agent.CQX

SpyLoan malware.

532D17F8F78FAB9DB953970E22910D17C14DDC75

com.mxolp.postloan.apk

Android/Spy.KreditSpy.E

SpyLoan malware.

720127B1920BA8508D0BBEBEA66C70EF0A4CBC37

com.okey.prestamo.apk

Android/Spy.Agent.CNA

SpyLoan malware.

2010B9D4471BC5D38CD98241A0AB1B5B40841D18

com.shuiyiwenhua.gl.apk

Android/Spy.KreditSpy.C

SpyLoan malware.

892CF1A5921D34F699691A67292C1C1FB36B45A8

com.swefjjghs.weejteop.apk

 Android/SpyLoan.EW

SpyLoan malware.

690375AE4B7D5D425A881893D0D34BB63462DBBF

com.truenaira.cashloan.moneycredit.apk

Android/SpyLoan.FA

SpyLoan malware.

1F01654928FC966334D658244F27215DB00BE097

king.credit.ng.apk

 Android/SpyLoan.AH

SpyLoan malware.

DF38021A7B0B162FA661DB9D390F038F6DC08F72

om.sc.safe.credit.apk

 Android/Spy.Agent.CME

SpyLoan malware.

Rede

#@#placeholder language='1' id='1275'#@@#

Técnicas MITRE ATT&CK

Esta tabela foi produzida utilizando a versão 13 da estrutura MITRE ATT&CK.

Tactic

ID

Name

Description

Discovery

T1418

Software Discovery

SpyLoan can obtain a list of installed applications.

T1420

File and Directory Discovery

SpyLoan lists available photos on external storage and extracts Exif information.

T1422

System Network Configuration Discovery

SpyLoan extracts the IMEI, IMSI, IP address, phone number, and country.

T1426

System Information Discovery

SpyLoan extracts information about the device, including SIM serial number, device ID, and common system information.

Collection

T1430

Location Tracking

SpyLoan tracks device location.

T1636.001

Protected User Data: Calendar Entries

SpyLoan extracts calendar events.

T1636.002

Protected User Data: Call Logs

SpyLoan extracts call logs.

T1636.003

Protected User Data: Contact List

SpyLoan extracts the contact list.

T1636.004

Protected User Data: SMS Messages

SpyLoan extracts SMS messages.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

SpyLoan uses HTTPS to communicate with its C&C server.

T1521.001

Encrypted Channel: Symmetric Cryptography

SpyLoan uses AES to encrypt its communication.

Exfiltration

T1646

Exfiltration Over C2 Channel

SpyLoan exfiltrates data using HTTPS.

 

 

 

ParafrasearBasicCerrarSinónimos…Alternativas generadas con IA