Εφαρμογές SpyLoan: Τοκογλύφοι επεκτείνουν το πεδίο δράσης τους στο Android

Μπορεί οι εφαρμογές προσωπικών δανείων Android να μην έχουν κάνει αισθητή τη παρουσία τους ακόμη στη χώρα μας, όμως είναι ζωτικής σημασίας να ενημερωθούμε για μια ανησυχητική παγκόσμια τάση: φέτος, οι ερευνητές της ESET παρατήρησαν ανησυχητική αύξηση των παραπλανητικών εφαρμογών δανείων για Android, οι οποίες παρουσιάζονται ως νόμιμες υπηρεσίες προσωπικών δανείων, υποσχόμενες γρήγορη και εύκολη πρόσβαση σε κεφάλαια.

Παρά την ελκυστική εμφάνισή τους, οι εφαρμογές αυτές είναι στην πραγματικότητα σχεδιασμένες για να εξαπατούν τους χρήστες, προσφέροντάς τους δάνεια υψηλού επιτοκίου που συνοδεύονται από παραπλανητικές περιγραφές, ενώ ταυτόχρονα συλλέγουν τις προσωπικές και οικονομικές πληροφορίες των θυμάτων προκειμένου να τα εκβιάσουν.

Μπορεί ο σάκος του Άγιου Βασίλη να κρύβει… κυβερνοπαγίδες;

Τα προϊόντα της ESET αναγνωρίζουν αυτές τις εφαρμογές και τις καταγράφουν με τον κωδικό “SpyLoan” – είναι μια ονομασία που χρησιμοποιείται ως ετικέτα στο σύστημα της ESET για να κατηγοριοποιήσει ή να προσδιορίσει έναν συγκεκριμένο τύπο εφαρμογής που συνδυάζει τη λειτουργία spyware με ισχυρισμούς που σχετίζονται με δάνεια.

Οι εφαρμογές SpyLoan προωθούνται μέσα από τα social media καθώς και με μηνύματα SMS και μπορεί κανείς να τις κατεβάσει από διάφορες πηγές, όπως ιστοσελίδες απάτης, καταστήματα εφαρμογών τρίτων και ακόμη και από το Google Play Store.

Γρήγορος εντοπισμός

Η ESET είναι μέλος της App Defense Alliance (ADA) και ενεργός συνεργάτης στο πρόγραμμα μετριασμού κακόβουλου λογισμικού, το οποίο έχει ως στόχο να εντοπίζει γρήγορα Δυνητικά Επιβλαβείς Εφαρμογές (Potentially Harmful Applications) και να τις σταματάει πριν φτάσουν στο Google Play. Ως μέλος της ADA, η ESET εντόπισε 18 εφαρμογές SpyLoan και τις ανέφερε στην Google, η οποία στη συνέχεια αφαίρεσε 17 από αυτές τις εφαρμογές από την πλατφόρμα της. Αυτές οι εφαρμογές είχαν συνολικά περισσότερες από 12 εκατομμύρια λήψεις από το Google Play πριν από την αφαίρεσή τους. Η 18η εφαρμογή άλλαξε τη συμπεριφορά της- ως εκ τούτου, λόγω αυτής της αλλαγής, η ESET δεν την κατηγοριοποιεί πλέον ως εφαρμογή SpyLoan.

Κάθε εφαρμογή SpyLoan, ανεξάρτητα από την προέλευση της, συμπεριφέρεται πανομοιότυπα λόγω του πανομοιότυπου υποκείμενου κώδικα. Δεν έχει σημασία αν η λήψη προήλθε από μια ύποπτη ιστοσελίδα, από ένα κατάστημα εφαρμογών τρίτου μέρους ή ακόμη και από το Google Play – οι χρήστες θα βιώσουν τις ίδιες λειτουργίες και θα αντιμετωπίσουν τους ίδιους κινδύνους, ανεξάρτητα από το πού απέκτησαν την εφαρμογή.

Σύμφωνα με την τηλεμετρία της ESET, οι διακινητές αυτών των εφαρμογών, οι οποίοι εκβιάζουν και παρενοχλούν τα θύματά τους, ακόμη και με απειλές δολοφονίας, δραστηριοποιούνται κυρίως στο Μεξικό, την Ινδονησία, την Ταϊλάνδη, το Βιετνάμ, την Ινδία, το Πακιστάν, την Κολομβία, το Περού, τις Φιλιππίνες, την Αίγυπτο, την Κένυα, τη Νιγηρία και τη Σιγκαπούρη. Οι ερευνητές της ESET πιστεύουν ότι αν εντοπιστούν οι εφαρμογές αυτές εκτός αυτών των χωρών, τότε θα οφείλεται σε smartphones που έχουν πρόσβαση σε κάποιο αριθμό τηλεφώνου εγγεγραμμένο σε μία από αυτές τις χώρες. Προς το παρόν δεν υπάρχουν ενεργές εκστρατείες που να στοχεύουν ευρωπαϊκές χώρες, τις ΗΠΑ ή τον Καναδά.

Αυτές οι υπηρεσίες όχι μόνο συλλέγουν δεδομένα και εκβιάζουν, αλλά και ασκούν μια μορφή σύγχρονης ψηφιακής τοκογλυφίας, η οποία περιλαμβάνει τη χρέωση υπερβολικά υψηλών επιτοκίων για δάνεια, εκμεταλλευόμενοι τα ευάλωτα άτομα.Τα θύματα αυτών των εφαρμογών ισχυρίζονται ότι το συνολικό ετήσιο κόστος των δανείων είναι πολύ υψηλότερο από το δηλωθέν και η διάρκεια του δανείου είναι πολύ μικρότερη από την αναγραφόμενη. Σε ορισμένες περιπτώσεις, οι δανειολήπτες πιέστηκαν να εξοφλήσουν τα δάνειά τους σε πέντε ημέρες, αντί των δηλωμένων 91 ημερών, και το ετήσιο κόστος ενός δανείου ήταν οπουδήποτε μεταξύ 160% και 340%.

Ίχνη από το 2020

Η ESET Research εντόπισε τα ίχνη του κυκλώματος SpyLoan το 2020. Μόλις ένας χρήστης εγκαταστήσει μια εφαρμογή SpyLoan, του ζητείται να αποδεχτεί τους όρους χρήσης και να παραχωρήσει δικαιώματα πρόσβασης σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στη συσκευή. Σύμφωνα με τις πολιτικές απορρήτου αυτών των εφαρμογών, το δάνειο δεν θα χορηγείται χωρίς αυτές τις άδειες. Επίσης, προκειμένου να ολοκληρωθεί η διαδικασία αίτησης δανείου, οι χρήστες υποχρεούνται να δώσουν πολλές προσωπικές πληροφορίες.

Τα δεδομένα που συνήθως μεταφέρονται στον διακομιστή διοίκησης και ελέγχου (C&C) περιλαμβάνουν στοιχεία όπως η λίστα των λογαριασμών του χρήστη, τα αρχεία καταγραφής κλήσεων, τα συμβάντα ημερολογίου, οι πληροφορίες της συσκευής, οι λίστες των εγκατεστημένων εφαρμογών, οι πληροφορίες του τοπικού δικτύου Wi-Fi, ακόμη και οι πληροφορίες σχετικά με τα αρχεία της συσκευής. Επιπλέον, κινδυνεύουν και οι λίστες επαφών, τα δεδομένα τοποθεσίας και τα μηνύματα SMS. Οι δράστες κρυπτογραφούν όλα τα κλεμμένα δεδομένα πριν τα στείλουν στον διακομιστή C&C για να προστατέψουν τις δραστηριότητές τους.

Ενώ τα νόμιμα χρηματοπιστωτικά ιδρύματα έχουν καθήκον να συλλέγουν προσωπικές πληροφορίες για τους πελάτες τους, η επαλήθευση της ταυτότητας και η αξιολόγηση κινδύνου μπορούν να γίνουν με πολύ λιγότερο παρεμβατικές μεθόδους συλλογής δεδομένων. Η ESET Research πιστεύει ότι ο πραγματικός λόγος για τον οποίο αυτές οι εφαρμογές SpyLoan ζητούν δεδομένα είναι η κατασκοπεία, η παρενόχληση και ο εκβιασμός των χρηστών και των επαφών τους.

Μετά την εγκατάσταση μιας τέτοιας εφαρμογής και τη συλλογή προσωπικών δεδομένων, οι υπεύθυνοι της εφαρμογής αρχίζουν να πιέζουν τα θύματά τους να πληρώσουν, ακόμη και αν – σύμφωνα με τις αξιολογήσεις – ο χρήστης δεν υπέβαλε αίτηση για δάνειο ή υπέβαλε αίτηση αλλά το δάνειο δεν εγκρίθηκε. Τέτοιες πρακτικές έχουν αναφερθεί στις κριτικές αυτών των εφαρμογών στο Facebook και στο Google Play.