SpyLend」と呼ばれるAndroidマルウェア・アプリが、Google Playから10万回以上ダウンロードされ、金融ツールを装っているが、インドでは略奪的な融資アプリとなっている。
このアプリは、「SpyLoan」と呼ばれる悪質なAndroidアプリのグループに属し、合法的な金融ツールやローンサービスのふりをしながら、代わりに略奪的な融資に使用するためにデバイスからデータを盗み出す。
これらのアプリは、迅速で簡単な融資を約束してユーザーを誘い、多くの場合、ほとんど書類を必要とせず、魅力的な条件を提示する。しかし、インストール時に過剰なアクセス許可を要求するため、アプリは連絡先、通話履歴、SMSメッセージ、写真、デバイスの位置情報などの個人データを盗むことができる。
こうして盗み出された情報は、ユーザーへの嫌がらせ、恐喝、脅迫に悪用され、特にアプリの返済条件を満たせなかった場合に悪用される。
融資詐欺と恐喝
サイバーセキュリティ企業CYFIRMAは、財務管理アプリケーションを謳い、Google Playで10万ダウンロードを集めている「Finance Simplified」というAndroidアプリを発見した。
しかし、CYFIRMAによると、このアプリはインドのような特定の国でより悪質な動作を示し、ユーザーのデバイスからデータを盗み出し、略奪的な融資に利用されるという。研究者は、KreditApple、PokketMe、StashFurという、同じマルウェアキャンペーンの亜種と思われる追加の悪意のあるAPKも発見したと述べている。
このアプリは現在Google Playから削除されているが、バックグラウンドで実行され続け、感染したデバイスから機密情報を収集している可能性がある。
ソースは こちら:
Google Play上の「Finance Simplified」に対する複数のユーザーレビューによると、このアプリは、高い金利を支払わなければ借り手を恐喝しようとする融資サービスを提供している。
“非常に非常に非常に悪いアプリは、彼らが支払うために低融資額とブラックメールを与えた 高いそうでなければヌードとブラックメールのように編集された写真 “と、現在取り下げられたアプリのユーザーレビューを読む。
このアプリはまた、登録された非銀行金融会社(NBFC)であると主張しているが、CYFIRMAはこれは真実ではないとしている。
Google Playでの検出を逃れるため、Finance SimplifiedはWebViewを読み込み、ユーザーを外部のウェブサイトにリダイレクトし、そこからAmazon EC2サーバーにホストされたローンアプリのAPKをダウンロードさせている。
「ファイナンス・シンプリファイドのアプリは、ローン・アプリケーションを表示・推奨し、ローン・サービスを表示するWebViewを読み込み、そこから外部のWebサイトにリダイレクトさせ、そこから別のローンAPKファイルをダウンロードさせることで、特にインドのユーザーをターゲットにしているようです」とCYFIRMAは説明する。
とCYFIRMAは説明する。研究者は、ユーザーの位置情報がインドの場合のみ、アプリが欺瞞的なインターフェイスをロードすることを発見し、このキャンペーンが特定のターゲットを持っていることを示した。
出典:CYFIRMA:CYFIRMA
アプリによって盗まれる機密データ
このマルウェアの活動でさらに懸念されるのは、ユーザーのデバイスに保存された機密個人情報を含むデータ収集だ。
以下は、マルウェアが盗み出すデータの概要である:
- 連絡先、通話ログ、SMSメッセージ、デバイスの詳細。
- 内部および外部ストレージの写真、ビデオ、ドキュメント。
- ライブ位置追跡(3秒ごとに更新)、過去の位置データ、IPアドレス。
- クリップボードにコピーされた直近20件のテキスト入力。
- ローン履歴と銀行SMS取引メッセージ。
これらのデータは、主にローンの申し込みを誤った被害者を恐喝するために使用されますが、金融詐欺に使用されたり、サイバー犯罪者に転売されて利益を得ることもあります。
.jpg)
出典:CYFIRMA:CYFIRMA
もしあなたのデバイスが上記のアプリや類似のアプリに感染している疑いがある場合は、すぐに削除し、アクセス許可をリセットし、銀行口座のパスワードを変更し、デバイススキャンを実行してください。
GoogleのPlay Protectツールは、既知のマルウェアや略奪的なアプリを検出してブロックするので、お使いのデバイスで有効になっていることを確認してください。
Comments