Um aplicativo de malware para Android chamado SpyLend foi baixado mais de 100.000 vezes da Google Play, onde se disfarçava como uma ferramenta financeira, mas tornou-se um aplicativo de empréstimos predatórios para aqueles na Índia.
O aplicativo faz parte de um grupo de aplicações Android maliciosas denominado "SpyLoan", que se passam por ferramentas financeiras legítimas ou serviços de empréstimo, mas, em vez disso, roubam dados dos dispositivos para uso em empréstimos predatórios.
Esses aplicativos atraem usuários com promessas de empréstimos rápidos e fáceis, muitas vezes requerendo pouca documentação e oferecendo termos atraentes.
No entanto, após a instalação, eles solicitam permissões excessivas, permitindo que os aplicativos roubem dados pessoais, como contatos, registros de chamadas, mensagens SMS, fotos e localização do dispositivo.
Essas informações coletadas são então exploradas para assediar, extorquir e chantagear usuários, especialmente se eles falharem em cumprir os termos de pagamento do aplicativo.
A firma de cibersegurança CYFIRMA descobriu um aplicativo Android chamado "Finance Simplified" que afirma ser uma aplicação de gestão financeira e acumulou 100.000 downloads na Google Play.
No entanto, a CYFIRMA afirma que o aplicativo demonstra comportamento mais malicioso em certos países, como a Índia, onde rouba dados dos dispositivos dos usuários para serem usados em empréstimos predatórios.
Os pesquisadores dizem que também descobriram APKs maliciosos adicionais que parecem ser variantes da mesma campanha de malware, nomeadamente KreditApple, PokketMe e StashFur.
Embora o aplicativo tenha sido removido da Google Play, ele pode continuar a funcionar em segundo plano, coletando informações sensíveis de dispositivos infectados.
Várias avaliações de usuários para Finance Simplified na Google Play indicam que o aplicativo oferece serviços de empréstimo que tentam extorquir os mutuários, caso eles não paguem taxas de juros altas.
"Aplicativo muito muito muito ruim, eles dão uma quantia baixa de empréstimo e chantageiam para pagar alto, caso contrário fotos são editadas como nuas e usadas para chantagear", lê-se uma avaliação de usuário para o aplicativo que foi retirado.
Os aplicativos também afirmam ser Companhias Financeiras Não Bancárias (NBFCs) registradas, o que a CYFIRMA afirma ser falso.
Para evadir a detecção na Google Play, Finance Simplified carrega um WebView para redirecionar usuários para um site externo de onde eles baixam um APK de aplicativo de empréstimo hospedado em um servidor Amazon EC2.
"O aplicativo Finance Simplified parece mirar especificamente nos usuários indianos ao exibir e recomendar aplicações de empréstimo, carregando um WebView que mostra um serviço de empréstimo que redireciona para um site externo onde um arquivo APK de empréstimo separado é baixado", explica a CYFIRMA.
Os pesquisadores descobriram que o aplicativo só carrega a interface enganosa se a localização do usuário for a Índia, o que mostra que a campanha tem um alvo específico.
O aspecto mais preocupante da atividade do malware é a coleta de dados, que inclui informações pessoais sensíveis armazenadas no dispositivo do usuário.
Aqui está um resumo dos dados que o malware rouba:
- Contatos, registros de chamadas, mensagens SMS e detalhes do dispositivo.
- Fotos, vídeos e documentos do armazenamento interno e externo.
- Rastreamento de localização ao vivo (atualizado a cada 3 segundos), dados de localização histórica e endereço IP.
- Últimas 20 entradas de texto copiadas para a área de transferência.
- Histórico de empréstimos e mensagens de transação bancária SMS.
Embora esses dados sejam usados principalmente para extorquir as vítimas que cometeram o erro de solicitar um empréstimo, eles também podem ser usados para fraude financeira ou revendidos a criminosos cibernéticos para lucro.
Se você suspeitar que seu dispositivo foi infectado por qualquer um dos aplicativos mencionados ou similares, remova-os imediatamente, redefina as permissões, altere as senhas das contas bancárias e realize uma varredura no dispositivo.
A ferramenta Play Protect do Google detecta e bloqueia malware conhecido e aplicativos predatórios, então garanta que ela esteja ativa no seu dispositivo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...