Desde principios de 2023, los investigadores de ESET han observado un alarmante crecimiento de aplicaciones engañosas de préstamos para Android, que se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil a los fondos.

A pesar de su apariencia atractiva, estos servicios en realidad están diseñados para estafar a los usuarios ofreciéndoles préstamos con altas tasas de interés respaldados con descripciones engañosas, todo mientras recopilan la información personal y financiera de sus víctimas para chantajearlas y, al final, obtener sus fondos. Por ello, los productos de ESET reconocen estas aplicaciones utilizando el nombre de detección SpyLoan, que hace referencia directa a su funcionalidad de spyware combinada con reclamos de préstamos.

Puntos clave del blogpost:

  • Las apps analizadas por los investigadores de ESET solicitan diversa información sensible a sus usuarios y la exfiltran a los servidores de los atacantes.
  • Estos datos se utilizan después para acosar y chantajear a los usuarios de estas apps y, según los comentarios de los usuarios, incluso aunque no se haya concedido un préstamo.
  • La telemetría de ESET muestra un crecimiento perceptible de estas aplicaciones en tiendas de aplicaciones de terceros no oficiales, Google Play y sitios web desde principios de 2023.
  • Las aplicaciones de préstamos maliciosas se centran en prestatarios potenciales del Sudeste Asiático, África y América Latina.
  • Todos estos servicios operan únicamente a través de aplicaciones móviles, ya que los atacantes pueden acceder a todos los datos sensibles del usuario que se almacenan en el smartphone, algo que no podrían hacer a través de navegadores.
SpyLoan-detections.trend
Figura 1. Tendendia de detecciones de SpyLoan, promedio móvil de siete días.

Información general

ESET es miembro de la App Defense Alliance y socio activo en el programa de mitigación de malware, cuyo objetivo es encontrar rápidamente aplicaciones potencialmente dañinas (PHA) y detenerlas antes de que lleguen a Google Play. 

Todas las aplicaciones SpyLoan que se describen en este artículo y se mencionan en la sección IoC se comercializan a través de redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros. Todas estas aplicaciones también estaban disponibles en Google Play. Como socio de Google App Defense Alliance, ESET identificó 18 aplicaciones SpyLoan y las denunció a Google, que posteriormente eliminó 17 de ellas de su plataforma. Antes de su eliminación, estas aplicaciones tenían un total de más de 12 millones de descargas en Google Play. La última aplicación identificada por ESET todavía está disponible en Google Play, pero como sus desarrolladores cambiaron sus permisos y funcionalidades, ya no la detectamos como una aplicación SpyLoan.

Es importante tener en cuenta que cada instancia de una aplicación SpyLoan en particular, independientemente de su origen, se comporta de forma idéntica debido a su idéntico código subyacente. En pocas palabras, si los usuarios descargan una aplicación específica, van a experimentar las mismas funciones y se enfrentarán a los mismos riesgos, independientemente de dónde obtuvieron la aplicación. No importa si la descarga procede de un sitio web sospechoso, de una tienda de aplicaciones de terceros o incluso de Google Play: el comportamiento de la aplicación será el mismo en todos los casos.

Ninguno de estos servicios ofrece la opción de solicitar un préstamo utilizando un sitio web, ya que a través de un navegador los extorsionadores no pueden acceder a todos los datos sensibles del usuario que se almacenan en un smartphone y que son necesarios para el chantaje.

En este blogpost, describimos el mecanismo de las aplicaciones SpyLoan y las diversas técnicas engañosas que utilizan para saltarse las políticas de Google Play y engañar y estafar a los usuarios. También compartimos las medidas que pueden tomar las víctimas si han caído en esta estafa y varias recomendaciones sobre cómo distinguir entre las apps de préstamos maliciosas y las legítimas para que los posibles prestatarios puedan protegerse.

Victimología

Según la telemetría de ESET, los ejecutores de estas apps operan principalmente en México, Indonesia, Tailandia, Vietnam, India, Pakistán, Colombia, Perú, Filipinas, Egipto, Kenia, Nigeria y Singapur (ver mapa en la Figura 2). Todos estos países tienen diversas leyes que regulan los préstamos privados, no sólo sus tipos, sino también la transparencia de su comunicación; sin embargo, no sabemos hasta qué punto se aplican con éxito. Creemos que cualquier detección fuera de estos países está relacionada con smartphones que tienen, por diversas razones, acceso a un número de teléfono registrado en uno de estos países.

En el momento de escribir estas líneas, no hemos visto ninguna campaña activa dirigida a países europeos, Estados Unidos o Canadá.

Figure 2 Heatmap of SpyLoan detections
Figura 2. Mapa de calor de las detecciones de SpyLoan vistas en la telemetría de ESET entre el 1 de enero y el 30 de noviembre de 2023

Análisis técnico

Acceso inicial

ESET Research ha rastreado los orígenes del esquema SpyLoan hasta 2020. En ese momento, este tipo de aplicaciones solo presentaban casos aislados que no llamaban la atención de los investigadores; sin embargo, la presencia de aplicaciones de préstamos maliciosas siguió creciendo y, finalmente, comenzamos a detectarlas en Google Play, la App Store de Apple y en sitios web dedicados a estafas. En las figuras 3 y 4 se muestran capturas de pantalla de uno de estos ejemplos. Este enfoque multiplataforma maximizó su alcance y aumentó las posibilidades de participación de los usuarios, aunque estas aplicaciones fueron retiradas posteriormente de las dos tiendas de aplicaciones oficiales.

Figure 3 Apps that were available on official stores for iOS and Android in 2020
Aplicaciones disponibles en las tiendas oficiales de iOS (izquierda) y Android (derecha) en 2020

Figure 4 Dedicated scam website
Figura 4. Sitio web dedicado a estafas

A principios de 2022, ESET se puso en contacto con Google Play para notificar a la plataforma sobre más de 20 apps de préstamos maliciosas que tenían más de 9 millones de descargas colectivas. Tras nuestra intervención, la compañía eliminó estas apps de su plataforma. La empresa de seguridad Lookout identificó 251 apps Android en Google Play y 35 apps iOS en la App Store de Apple que mostraban un comportamiento depredador. Según Lookout, habían estado en contacto con Google y Apple en relación con las aplicaciones identificadas y en noviembre de 2022 publicaron un blog sobre estas aplicaciones. Google ya había identificado y retirado la mayoría de las aplicaciones de préstamos maliciosas antes de la publicación de la investigación de Lookout, y dos de las aplicaciones identificadas fueron retiradas de Google Play por el desarrollador. En conjunto, estas aplicaciones en Google Play tenían más de 15 millones de descargas; Apple también retiró las aplicaciones identificadas.

Según la telemetría de ESET, las detecciones de SpyLoan comenzaron a aumentar de nuevo en enero de 2023 y desde entonces han seguido creciendo aún más en tiendas de aplicaciones de terceros no oficiales, Google Play y sitios web.

En su resumen de seguridad de 2022, Google describió cómo la compañía mantuvo seguros a los usuarios de Android y Google Play mediante el despliegue de nuevos requisitos para las apps de préstamos personales en varias regiones. Como se ha documentado, en los últimos tres años, la situación ha evolucionado y Google Play ha realizado varios cambios en sus políticas de apps de préstamos personales -con requisitos específicos para cada país en India, Indonesia, Filipinas, Nigeria, Kenia, Pakistán y Tailandia- y ha anulado la publicación de muchas apps de préstamos maliciosas.

Para atraer a las víctimas, los delincuentes promocionan activamente estas aplicaciones maliciosas con mensajes SMS y en redes sociales populares como Twitter, Facebook y YouTube. Aprovechando esta inmensa base de usuarios, los estafadores pretenden atraer a víctimas desprevenidas que necesitan ayuda financiera.

Aunque este esquema no se utiliza en todas las aplicaciones SpyLoan que hemos analizado, otro aspecto alarmante de algunas aplicaciones SpyLoan es la suplantación de proveedores de préstamos y servicios financieros de buena reputación mediante el uso indebido de nombres y marcas de entidades legítimas. Para ayudar a concienciar a las víctimas potenciales, algunos servicios financieros legítimos incluso han advertido sobre las aplicaciones SpyLoan en las redes sociales, como puede verse en la Figura 5.

Figure 5 RapiCredit warned potential borrowers about a malicious loan app
Figura 5. RapiCredit advirtió a posibles prestatarios sobre una aplicación de préstamo maliciosa

Conjunto de herramientas

Una vez que el usuario instala una aplicación SpyLoan, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo. A continuación, la aplicación solicita el registro del usuario, que normalmente se realiza mediante la verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima.

Estos formularios de registro seleccionan automáticamente el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que sólo las personas con números de teléfono registrados en el país objetivo puedan crear una cuenta, como se ve en la Figura 6.

Figure 6 Phone number registration
Figura 6. Registro del número de teléfono con códigos de país preseleccionadosn

Una vez verificado el número de teléfono, los usuarios acceden a la función de solicitud de préstamos de la aplicación. Para completar el proceso de solicitud de préstamo, los usuarios se ven obligados a proporcionar una gran cantidad de información personal, incluyendo detalles de dirección, información de contacto, prueba de ingresos, información de la cuenta bancaria, e incluso subir fotos del anverso y reverso de sus documentos de identidad, y un selfie, como se muestra en la Figura 7.

Figure 7 Apps request sensitive data from the user
Figura 7. Las aplicaciones solicitan datos sensibles al usuario

Las aplicaciones SpyLoan suponen una importante amenaza al extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: estas aplicaciones son capaces de enviar datos confidenciales a sus servidores de mando y control (C&C). Los datos que se suelen filtrar incluyen la lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local e incluso información sobre los archivos del dispositivo (como metadatos Exif de imágenes sin enviar realmente las fotografías en sí). Además, las listas de contactos, los datos de localización y los mensajes SMS también son vulnerables. Para proteger sus actividades, los delincuentes cifran todos los datos robados antes de transmitirlos al servidor de C&C.

A medida que las aplicaciones SpyLoan evolucionaban, su código malicioso se hacía más sofisticado. En las versiones anteriores, la funcionalidad dañina del malware no estaba oculta ni protegida; sin embargo, las versiones posteriores incorporaron algunas técnicas más avanzadas como la ofuscación de código, las cadenas cifradas y la comunicación cifrada de C&C para ocultar sus actividades maliciosas. Para una comprensión más detallada de estas mejoras, consulte la Figura 8 y la Figura 9.

Figure 8 Code responsible for data exfiltration
Imagen 8: Código responsable de la filtración de datos en una versión anterior de SpyLoan

 

Figure 9 Slightly obfuscated code
Figura 9. Código ligeramente ofuscado responsable de la filtración de datos en una versión reciente de SpyLoan

El 31 de mayo de 2023, comenzaron a aplicarse políticas adicionales a las aplicaciones de préstamo en Google Play, que establecen que dichas aplicaciones tienen prohibido pedir permiso para acceder a datos confidenciales como imágenes, vídeos, contactos, números de teléfono, ubicación y datos de almacenamiento externo. Al parecer, esta política actualizada no tuvo un efecto inmediato en las aplicaciones existentes, ya que la mayoría de las que denunciamos seguían estando disponibles en la plataforma (incluidos sus amplios permisos) después de que la política empezara a aplicarse, como se muestra en la Figura 10. Sin embargo, como ya hemos mencionado, Google aplicó esta política más tarde. Sin embargo, como hemos mencionado, Google anuló posteriormente la publicación de estas aplicaciones.

Figure 10 Example of the broad permissions
Figura 10. Ejemplo de los amplios permisos que las aplicaciones SpyLoan solicitan a sus usuarios

Consecuencias

Una vez instalada la aplicación y recopilados los datos personales, sus ejecutores empiezan a acosar y chantajear a sus víctimas para que realicen los pagos, incluso si -según las críticas- el usuario no solicitó el préstamo o lo solicitó pero no se lo aprobaron. Tales prácticas se han descrito en las reseñas de estas aplicaciones en Facebook y en Google Play, como se muestra en la Figura 11 (mencionando incluso amenazas de muerte), Figura 12 (traducción automática parcial: ¿Vale la deuda que tienes tu tranquilidad y la de tus seres queridos? ... ¿Realmente quieres poner en riesgo tu seguridad? ... ¿Estás dispuesto a pagar las consecuencias? Puedes meterte en muchos problemas y evitarte una mala experiencia a ti y a los que te rodean), y la Figura 13.

Figure 11 Reviewers
Figura 11. Los revisores de estas aplicaciones afirman haber sido acosados y amenazados, algunos de ellos incluso aunque no recibieran un préstamo

Figure 12 Threatening message
Figura 12. Mensaje amenazador que recibió una víctima y luego publicó en Facebook

Figure 13 Reviewers claims
Figura 13. Estos usuarios afirman que, o bien no solicitaron un préstamo y siguen siendo chantajeados y amenazados, o bien no obtuvieron un préstamo pero la aplicación les pide que lo devuelvan

Además de la recolección de datos y el chantaje, estos servicios presentan una forma de usura digital moderna, que se refiere al cobro de tipos de interés excesivos en los préstamos, aprovechándose de personas vulnerables con necesidades financieras urgentes, o de prestatarios que tienen un acceso limitado a las instituciones financieras convencionales. Un usuario criticó negativamente (véase la figura 14) una aplicación de SpyLoan no porque le acosara, sino porque hacía ya cuatro días que había solicitado un préstamo, pero no había pasado nada y necesitaba dinero para medicamentos.

Figure 14 Review claiming delay
Figura 14. Revisión reclamando el retraso en la aprobación de su solicitud

En general, la usura se considera tan poco ética que se condena en diversos textos religiosos y está regulada por leyes para proteger a los prestatarios de esas prácticas depredadoras. Sin embargo, es importante señalar que un contrato de préstamo estándar no se considera usura si el interés se fija a un tipo razonable y sigue las directrices legales.

Razones del rápido crecimiento

Hay varias razones que explican el rápido crecimiento de las aplicaciones SpyLoan. Una de ellas es que los desarrolladores de estas aplicaciones se inspiran en los exitosos servicios FinTech (tecnología financiera), que aprovechan la tecnología para ofrecer servicios financieros ágiles y fáciles de usar. Las aplicaciones y plataformas FinTech son conocidas por alterar el sector financiero tradicional ofreciendo comodidad en términos de accesibilidad, permitiendo a las personas, de una manera fácil de usar, realizar diversas actividades financieras en cualquier momento y en cualquier lugar, utilizando sólo sus teléfonos inteligentes. Por el contrario, lo único que alteran las aplicaciones SpyLoan es la confianza en la tecnología, las instituciones financieras y entidades similares.

Otra razón de su crecimiento se observó en el análisis de Zimperium sobre cómo los actores maliciosos se aprovecharon del framework Flutter y lo utilizaron para desarrollar aplicaciones de préstamos maliciosas. Flutter es un kit de desarrollo de software (SDK) de código abierto diseñado para crear aplicaciones multiplataforma que pueden ejecutarse en varias plataformas como Android, iOS, web y Windows. Desde su lanzamiento en diciembre de 2018, Flutter ha desempeñado un papel importante a la hora de facilitar el desarrollo de nuevas aplicaciones móviles e impulsar su introducción en el mercado.

Aunque solo los desarrolladores de aplicaciones pueden confirmar con certeza si utilizaron Flutter para programar sus aplicaciones o partes de ellas, de las 17 aplicaciones que reportamos a Google, tres de ellas contienen bibliotecas específicas de Flutter o extensiones .dart, que hacen referencia al lenguaje de programación Dart de Flutter. Esto indica que al menos algunos de los atacantes están utilizando herramientas benignas de terceros para facilitar el desarrollo de sus aplicaciones maliciosas.

Técnicas de comunicación engañosas

Las aplicaciones de préstamos maliciosas suelen utilizar una redacción y unos elementos de diseño muy parecidos a los de las aplicaciones de préstamos legítimas. Esta similitud intencionada dificulta que los usuarios típicos determinen la autenticidad de una aplicación, especialmente cuando se trata de términos financieros y legales. Las comunicaciones engañosas desplegadas por estas aplicaciones se dividen en varias capas.

Descripción oficial de Google Play

Para poder poner el pie en la puerta de Google Play y ser publicadas en la plataforma, todas las apps de SpyLoan que analizamos proporcionaron una descripción que en su mayoría parece ajustarse no sólo a los requisitos de Google Play, sino que también parece cubrir las exigencias legales locales; algunas apps incluso afirmaban ser empresas financieras no bancarias registradas. Sin embargo, las transacciones sobre el terreno y las prácticas comerciales -como demuestran los comentarios de los usuarios y otros informes- llevadas a cabo por los desarrolladores de estas aplicaciones no cumplían las normas explícitamente declaradas por ellos.

En general, las apps de SpyLoan declaran abiertamente qué permisos se solicitan, afirman tener la licencia adecuada y facilitan el rango de la tasa anual equivalente (que siempre está dentro del límite legal establecido por las leyes locales sobre usura o legislación similar). La tasa anual equivalente (TAE) describe e incluye el tipo de interés y determinadas comisiones o gastos asociados al préstamo, como las comisiones de apertura, los gastos de tramitación u otros gastos financieros. En muchos países, está legalmente limitado y, por ejemplo, en el caso de los proveedores de préstamos personales en EE.UU., Google limitó la TAE al 36%.

El coste anual total (CAT) va más allá de la TAE e incluye no sólo el tipo de interés y las comisiones, sino también otros costes, como primas de seguros o gastos adicionales relacionados con el préstamo. El CAT, por tanto, proporciona a los prestatarios una estimación más precisa del compromiso financiero total que requiere el préstamo, incluidos todos los costes asociados. Dado que algunos países latinoamericanos exigen a los proveedores de préstamos que revelen el TAC, las aplicaciones SpyLoan comercializadas en esta región revelaron el verdadero coste elevado de sus préstamos con TAC de entre el 160% y el 340%, como se muestra en la Figura 15.

Figure 15 Apps claimed shortest loan tenure
Figura 15. Las aplicaciones afirman que el plazo de préstamo más corto es de 91 días

Las descripciones de las aplicaciones también incluían la duración de los préstamos personales, que establece el proveedor del préstamo y que, según la política de servicios financieros de Google, no puede ser inferior a 60 días. La duración del préstamo representa el periodo en el que se espera que el prestatario devuelva los fondos prestados y todos los costes asociados al prestamista. Las aplicaciones que hemos analizado tenían una duración fijada entre 91 y 360 días (véase la figura 15); sin embargo, los clientes que enviaron sus comentarios a Google Play (véase la figura 16) se quejaron de que la duración era significativamente más corta y de que los intereses eran elevados. Si nos fijamos en el tercer ejemplo de los comentarios de la Figura 16, el interés (549 pesos) era más alto que el préstamo real (450 pesos), y el préstamo junto con el interés (999 pesos) debía haberse devuelto en 5 días, violando así las políticas de duración de los préstamos de Google.

Figure 16 Borrowers complaints
Figura 16. Los prestatarios se quejaron de que la duración de sus préstamos era de sólo siete o cinco días

Política de privacidad

Por mandato de la política de desarrolladores de Google Play, y en línea con las normas de Conozca a su cliente (KYC), los desarrolladores que quieran colocar sus aplicaciones en Google Play deben proporcionar una política de privacidad válida y fácilmente accesible. Esta política debe cubrir aspectos como los tipos de datos recopilados, cómo se utilizan, con quién pueden compartirse, las medidas de seguridad existentes para proteger los datos de los usuarios y cómo estos pueden ejercer sus derechos en relación con sus datos. Esto es similar a las directrices KYC, que exigen transparencia en el uso y la protección de los datos. Los requisitos KYC para la recopilación de datos suelen incluir la recogida de información personal como el nombre completo, la fecha de nacimiento, la dirección, los datos de contacto y un número o documento de identificación emitido por el gobierno. En el contexto de los servicios financieros, esto también podría implicar la recopilación de datos sobre la situación laboral, la fuente de ingresos, el historial crediticio y otra información relevante para evaluar la solvencia.

Aunque una política de privacidad es un documento legal, puede generarse automáticamente de forma muy sencilla: existen muchos generadores gratuitos de políticas de privacidad que pueden generar un documento de este tipo después de que el desarrollador de la aplicación introduzca datos básicos como el nombre de la aplicación, la empresa que la respalda y los datos que la aplicación recopila. Esto significa que es bastante sencillo crear una política de privacidad que parezca auténtica al ciudadano de a pie.

En marcado contraste con las normas KYC, las aplicaciones SpyLoan que identificamos utilizaban tácticas engañosas en sus políticas de privacidad. Afirmaban necesitar permiso para acceder a archivos multimedia "para llevar a cabo una evaluación de riesgos", permiso de almacenamiento "para ayudar a presentar documentos", acceder a datos de SMS que, según decían, sólo estaban relacionados con transacciones financieras "para identificarte correctamente"el acceso al calendario "para programar la fecha de pago y los recordatorios correspondientes", el permiso de cámara "para ayudar a los usuarios a subir las fotos necesarias" y el permiso de registro de llamadas "para confirmar que nuestra aplicación está instalada en su propio teléfono". En realidad, de acuerdo con las normas KYC, la verificación de la identidad y la evaluación del riesgo podrían realizarse utilizando métodos de recopilación de datos mucho menos intrusivos. Como ya hemos mencionado, según las políticas de privacidad de estas aplicaciones, si no se conceden esos permisos a la aplicación, no se prestará el servicio y, por tanto, el préstamo. La verdad es que estas aplicaciones no necesitan todos estos permisos, ya que todos estos datos se pueden cargar en la aplicación con un permiso único que sólo tiene acceso a las fotos y documentos seleccionados, no a todos ellos, se puede enviar una solicitud de calendario al destinatario del préstamo por correo electrónico, y el permiso para acceder a los registros de llamadas es completamente innecesario.

Algunas políticas de privacidad estaban redactadas de forma extremadamente contradictoria. Por un lado, enumeraban razones engañosas para recopilar datos personales, mientras que, por otro, afirmaban que no se recopilaban datos personales sensibles, como se muestra en la Figura 17. Esto va en contra de las normas de KYC. Esto va en contra de las normas KYC, que exigen una comunicación honesta y transparente sobre la recopilación y el uso de datos, incluidos los tipos específicos de datos mencionados anteriormente.

Figure 17 Contradictory claims
Figura 17. Afirmaciones contradictorias en una de las políticas de privacidad

Creemos que el verdadero propósito de estos permisos es espiar a los usuarios de estas aplicaciones y acosarlos y chantajearlos a ellos y a sus contactos.

Otra política de privacidad revela que la aplicación que ofrece préstamos a los egipcios está gestionada por SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI. Según la Autoridad General Egipcia para la Inversión y las Zonas Francas, ninguna empresa de este tipo está registrada en Egipto; sin embargo, la encontramos en la lista de docenas de plataformas ilegales de préstamos entre particulares sobre las que advirtió el Grupo de Trabajo de Alerta sobre Inversiones de Indonesia en enero de 2021.

En conclusión, aunque estas aplicaciones SpyLoan cumplen técnicamente con los requisitos de tener una política de privacidad, sus prácticas van claramente más allá del alcance de la recopilación de datos necesaria para prestar servicios financieros y cumplir con las normas bancarias KYC. De acuerdo con las normas de KYC, las aplicaciones de préstamos legítimas sólo solicitan los datos personales necesarios para verificar la identidad y la solvencia, y no piden acceso a datos no relacionados, como archivos multimedia o entradas de calendario. En general, es importante que los usuarios conozcan sus derechos y tengan cuidado con los permisos que conceden a cualquier aplicación. Esto incluye ser consciente de las normas establecidas por la normativa bancaria KYC, que está diseñada no sólo para proteger a las instituciones financieras del fraude y otras actividades ilegales, sino también los datos personales y las transacciones financieras de sus usuarios.

Páginas web

Algunas de estas aplicaciones tenían sitios web oficiales que ayudaban a crear la ilusión de un proveedor de préstamos personales establecido y centrado en el cliente, contenían un enlace a Google Play y otra información en su mayoría genérica y simple que era similar a la descripción que el desarrollador proporcionó en Google Play, antes de que la aplicación fuera retirada. Normalmente no revelaban el nombre de la empresa que estaba detrás de la aplicación. Sin embargo, uno de los varios sitios web que analizamos iba más allá y contenía detalles sobre puestos de trabajo vacantes, imágenes de un entorno de oficina confortable y fotos del Consejo de Administración, todo ello robado de otros sitios web.

Los puestos de trabajo vacantes se copiaron de otras empresas y sólo se modificaron ligeramente. En el que se copió de Instahyre, una plataforma de contratación con sede en la India, y que se muestra en la figura 18, sólo se cambió de posición en el texto la línea "Buen conocimiento de Ameyo".

Figure 18 Comparison of a job position
Figura 18. Comparación de un puesto de trabajo en uno de los proveedores de préstamos maliciosos (izquierda) y un puesto publicado en Instahyre (derecha)

Las tres imágenes del entorno de oficina que aparecen en la figura 19 se copiaron de dos empresas: las fotos de la oficina y del campo de juego son de PaywithRing, una aplicación de pago india con millones de clientes, y la foto del equipo es de The Better India, una plataforma de medios digitales india.

Figure 19 Office environment photos
Figura 19. Fotos del entorno de oficina robadas de sitios web de otras empresas

Los miembros del Consejo de Administración se corresponden con los nombres relacionados con la empresa que afirma estar detrás de esta aplicación en concreto, pero las imágenes que se utilizaron en el sitio web (mostradas en la Figura 20) mostraban tres modelos de fotos de archivo diferentes, y en el sitio web no se indicaba que estas imágenes tenían únicamente fines ilustrativos.

Figure 20 Pictures showcasing the Board of Directors
Imagen 20: Fotos del Consejo de Administración eran, sin lugar a dudas, imagenes de archivo: la primera procedía de Freepik, la segunda de otros sitios web y la tercera se podía adquirir en Getty Images

Aunque es fácil hacer una búsqueda inversa de imágenes en Google para buscar la fuente de estas imágenes en un navegador de escritorio, es importante señalar que esto es mucho más difícil de hacer en un teléfono. Como hemos señalado anteriormente, los proveedores de estas aplicaciones se centran únicamente en los prestatarios potenciales que desean utilizar un teléfono móvil para obtener un préstamo.

Aplicaciones de préstamos legítimas frente a maliciosas: cómo distinguirlas

Como se mencionó en la sección Técnicas de comunicación engañosas, incluso si la aplicación o la empresa que la respalda dice que es un proveedor de préstamos aprobado, esto no garantiza automáticamente su legitimidad o sus prácticas éticas: aún puede engañar a los clientes potenciales mediante el uso de tácticas engañosas e información engañosa sobre las condiciones del préstamo. Como mencionó Lookout, solicitar un préstamo a instituciones establecidas podría parecer el mejor consejo para los prestatarios potenciales, pero las aplicaciones SpyLoan hacen que sea realmente difícil distinguirlas de las organizaciones financieras estándar y algunos prestatarios no tienen acceso a las entidades financieras tradicionales. Por lo tanto, es esencial acercarse a las aplicaciones de préstamos con precaución y tomar medidas adicionales para garantizar su credibilidad, ya que su instalación podría tener un impacto muy negativo en la situación financiera del prestatario. 

Limitarse a las fuentes oficiales y utilizar una aplicación de seguridad debería ser suficiente para detectar una aplicación de préstamos maliciosa; sin embargo, existen medidas adicionales que los usuarios pueden emplear para protegerse:

  • Recurrir a fuentes oficiales
    Los usuarios de Android deberían evitar la instalación de aplicaciones de préstamos de fuentes no oficiales y tiendas de aplicaciones de terceros, y ceñirse a plataformas de confianza como Google Play, que aplican procesos de revisión de aplicaciones y medidas de seguridad. Aunque esto no garantiza una protección total, reduce el riesgo de encontrarse con aplicaciones de préstamos fraudulentas.
  • Utilizar una aplicación de seguridad
    Una aplicación de seguridad para Android fiable protege al usuario de aplicaciones de préstamo maliciosas y de malware. Las aplicaciones de seguridad proporcionan una capa adicional de protección escaneando e identificando aplicaciones potencialmente dañinas, detectando malware y advirtiendo a los usuarios sobre actividades sospechosas. Las aplicaciones de préstamos maliciosas mencionadas en este blogpost son detectadas por los productos de ESET como Android/SpyLoan, Android/Spy.KreditSpy, o una variante de Android/Spy.Agent.
  • Revisión de escrutinio
    Al descargar aplicaciones de Google Play, es importante prestar mucha atención a las reseñas de los usuarios (puede que no estén disponibles en tiendas no oficiales). Es crucial ser consciente de que las reseñas positivas pueden ser falsificadas o incluso extorsionadas a víctimas anteriores para aumentar la credibilidad de las aplicaciones fraudulentas. En cambio, los prestatarios deben centrarse en las reseñas negativas y evaluar cuidadosamente las preocupaciones planteadas por los usuarios, ya que pueden revelar información importante, como las tácticas de extorsión y el coste real que cobra el proveedor del préstamo.
  • Política de privacidad y examen del acceso a los datos
    Antes de instalar una aplicación de préstamos, los usuarios deben leer su política de privacidad, si está disponible. Este documento suele contener información valiosa sobre la forma en que la aplicación accede a la información confidencial y la almacena. Sin embargo, los estafadores pueden emplear cláusulas engañosas o un lenguaje vago para engañar a los usuarios y conseguir que concedan permisos innecesarios o compartan datos personales. Durante la instalación, es importante prestar atención a los datos a los que la aplicación solicita acceso y preguntarse si los datos solicitados son necesarios para la funcionalidad de la aplicación de préstamo, como contactos, mensajes, fotos, archivos y eventos del calendario.
  • Si la prevención no funciona
    Hay varias vías por las que las personas pueden buscar ayuda y tomar medidas si son víctimas de usureros digitales. Las víctimas deben denunciar el incidente a las autoridades policiales o judiciales pertinentes de su país, ponerse en contacto con los organismos de protección de los consumidores y alertar a la institución que rige las condiciones de los préstamos privados; en la mayoría de los países, es el banco nacional o su equivalente. Cuantas más alertas reciban estas instituciones, más probable será que tomen medidas. Si la aplicación de préstamos engañosa se obtuvo a través de Google Play, los particulares pueden solicitar ayuda al servicio de asistencia de Google Play, donde pueden denunciar la aplicación y solicitar la eliminación de sus datos personales asociados a ella. Sin embargo, es importante tener en cuenta que es posible que los datos ya se hayan extraído al servidor de C&C del atacante.

Conclusión

Incluso después de varios retiros, las aplicaciones SpyLoan siguen encontrando su camino en Google Play, y sirven como un importante recordatorio de los riesgos a los que se enfrentan los prestatarios cuando buscan servicios financieros en línea. Estas aplicaciones maliciosas se aprovechan de la confianza que los usuarios depositan en los proveedores legítimos de préstamos, utilizando técnicas sofisticadas para engañar y robar una amplia gama de información personal.

Es crucial que las personas actúen con cautela, validen la autenticidad de cualquier aplicación o servicio financiero y confíen en fuentes fiables. Manteniéndose informados y vigilantes, los usuarios pueden protegerse mejor de ser víctimas de estos engaños.

IoCs

Archivos

SHA-1

Filename

Detection

Description

136067AC519C23EF7B9E8EB788D1F5366CCC5045

com.aa.kredit.android.apk

Android/SpyLoan.AN

SpyLoan malware.

C0A6755FF0CCA3F13E3C9980D68B77A835B15E89

com.amorcash.credito.prestamo.apk

Android/SpyLoan.BE

SpyLoan malware.

0951252E7052AB86208B4F42EB61FC40CA8A6E29

com.app.lo.go.apk

Android/Spy.Agent.CMO

SpyLoan malware.

B4B43FD2E15FF54F8954BAC6EA69634701A96B96

com.cashwow.cow.eg.apk

Android/Spy.Agent.EY

SpyLoan malware.

D5104BB07965963B1B08731E22F00A5227C82AF5

com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk

Android/Spy.Agent.CLK

SpyLoan malware.

F79D612398C1948DDC8C757F9892EFBE3D3F585D

com.flashloan.wsft.apk

Android/Spy.Agent.CNB

SpyLoan malware.

C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC

com.guayaba.cash.okredito.mx.tala.apk

Android/Spy.Agent.CLK

SpyLoan malware.

E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534

com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk

Android/SpyLoan.EZ

SpyLoan malware.

9C430EBA0E50BD1395BB2E0D9DDED9A789138B46

com.mlo.xango.apk

Android/Spy.Agent.CNA

SpyLoan malware.

6DC453125C90E3FA53988288317E303038DB3AC6

com.mmp.optima.apk

Android/Spy.Agent.CQX

SpyLoan malware.

532D17F8F78FAB9DB953970E22910D17C14DDC75

com.mxolp.postloan.apk

Android/Spy.KreditSpy.E

SpyLoan malware.

720127B1920BA8508D0BBEBEA66C70EF0A4CBC37

com.okey.prestamo.apk

Android/Spy.Agent.CNA

SpyLoan malware.

2010B9D4471BC5D38CD98241A0AB1B5B40841D18

com.shuiyiwenhua.gl.apk

Android/Spy.KreditSpy.C

SpyLoan malware.

892CF1A5921D34F699691A67292C1C1FB36B45A8

com.swefjjghs.weejteop.apk

 Android/SpyLoan.EW

SpyLoan malware.

690375AE4B7D5D425A881893D0D34BB63462DBBF

com.truenaira.cashloan.moneycredit.apk

Android/SpyLoan.FA

SpyLoan malware.

1F01654928FC966334D658244F27215DB00BE097

king.credit.ng.apk

 Android/SpyLoan.AH

SpyLoan malware.

DF38021A7B0B162FA661DB9D390F038F6DC08F72

om.sc.safe.credit.apk

 Android/Spy.Agent.CME

SpyLoan malware.

Red

IP

Domain

Hosting provider

First seen

Details

3.109.98[.]108

pss.aakredit[.]in

Amazon.com, Inc.

2023-03-27

C&C server.

35.86.179[.]229

www.guayabacash[.]com

Amazon.com, Inc.

2021-10-17

C&C server.

35.158.118[.]139

eg.easycredit-app[.]com

Amazon.com, Inc.

2022-11-26

C&C server.

43.225.143[.]80

ag.ahymvoxxg[.]com

HUAWEI CLOUDS

2022-05-28

C&C server.

47.56.128[.]251

hwpamjvk.whcashph[.]com

Alibaba (US) Technology Co., Ltd.

2020-01-22

C&C server.

47.89.159[.]152

qt.qtzhreop[.]com

Alibaba (US) Technology Co., Ltd.

2022-03-22

C&C server.

47.89.211[.]3

rest.bhvbhgvh[.]space

Alibaba (US) Technology Co., Ltd.

2021-10-26

C&C server.

47.91.110[.]22

la6gd.cashwow[.]club

Alibaba (US) Technology Co., Ltd.

2022-10-28

C&C server.

47.253.49[.]18

mpx.mpxoptim[.]com

Alibaba (US) Technology Co., Ltd.

2023-04-24

C&C server.

47.253.175[.]81

oy.oyeqctus[.]com

ALICLOUD-US

2023-01-27

C&C server.

47.254.33[.]250

iu.iuuaufbt[.]com

Alibaba (US) Technology Co., Ltd.

2022-03-01

C&C server.

49.0.193[.]223

kk.softheartlend2[.]com

IRT-HIPL-SG

2023-01-28

C&C server.

54.71.70[.]186

www.credibusco[.]com

Amazon.com, Inc.

2022-03-26

C&C server.

104.21.19[.]69

cy.amorcash[.]com

Cloudflare, Inc.

2023-01-24

C&C server.

110.238.85[.]186

api.yumicash[.]com

HUAWEI CLOUDS

2020-12-17

C&C server.

152.32.140[.]8

app.truenaira[.]co

IRT-UCLOUD-HK

2021-10-18

C&C server.

172.67.131[.]223

apitai.coccash[.]com

Cloudflare, Inc.

2021-10-21

C&C server.

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 13 del marco MITRE ATT&CK.

Tactic

ID

Name

Description

Discovery

T1418

Software Discovery

SpyLoan can obtain a list of installed applications.

T1420

File and Directory Discovery

SpyLoan lists available photos on external storage and extracts Exif information.

T1422

System Network Configuration Discovery

SpyLoan extracts the IMEI, IMSI, IP address, phone number, and country.

T1426

System Information Discovery

SpyLoan extracts information about the device, including SIM serial number, device ID, and common system information.

Collection

T1430

Location Tracking

SpyLoan tracks device location.

T1636.001

Protected User Data: Calendar Entries

SpyLoan extracts calendar events.

T1636.002

Protected User Data: Call Logs

SpyLoan extracts call logs.

T1636.003

Protected User Data: Contact List

SpyLoan extracts the contact list.

T1636.004

Protected User Data: SMS Messages

SpyLoan extracts SMS messages.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

SpyLoan uses HTTPS to communicate with its C&C server.

T1521.001

Encrypted Channel: Symmetric Cryptography

SpyLoan uses AES to encrypt its communication.

Exfiltration

T1646

Exfiltration Over C2 Channel

SpyLoan exfiltrates data using HTTPS.