Các nhà nghiên cứu tại Cyfirma đã phát hiện ra sự hiện diện của phần mềm độc hại mới trên Cửa hàng Google Play. Được gọi là SpyLend, phần mềm độc hại này ngụy trang thành một ứng dụng tài chính vô hại có tên Finance Simplified, cho phép người dùng vay tiền chỉ bằng vài cú nhấp chuột.
Sau khi được cài đặt trên điện thoại thông minh của mục tiêu, trước tiên, vi-rút sẽ yêu cầu một loạt các quyền. Với những quyền này được yêu cầu một cách giả mạo, phần mềm độc hại sẽ thu thập một lượng lớn dữ liệu, chẳng hạn như danh sách liên lạc, lịch sử cuộc gọi, tin nhắn SMS, ảnh và vị trí của thiết bị. Các nhà nghiên cứu cũng quan sát việc thu thập toàn bộ lịch sử vị trí của người dùng, 20 mục nhập clipboard gần nhất, lịch sử vay mượn và tin nhắn giao dịch ngân hàng qua SMS. Dữ liệu cá nhân này sau đó sẽ được tội phạm mạng bí mật thu thập.
Ứng dụng sau đó sẽ hoạt động như mong đợi bằng cách cung cấp cho người dùng cơ hội vay với lãi suất cao. Để đánh lừa mục tiêu, ứng dụng này giả mạo là của các công ty tài chính phi ngân hàng đã đăng ký (NBFC). Các công ty này chịu sự quản lý của các cơ quan tài chính cụ thể, nhưng không phải tuân theo các quy tắc giống như ngân hàng. Trên thực tế, Finance Simplified không phải do một công ty đã đăng ký phát triển. Ứng dụng này là "cổng vào các ứng dụng cho vay nặng lãi" bất hợp pháp. Sau khi khoản vay được chấp thuận, tin tặc sẽ sử dụng thông tin bị đánh cắp để tống tiền người dùng nhiều tiền hơn và gây áp lực cho họ. Theo các báo cáo trên Play Store cho thấy, những kẻ lừa đảo không ngần ngại đe dọa nạn nhân sẽ công khai ảnh nhạy cảm của mình nếu họ thanh toán chậm. Nếu không tìm thấy ảnh thỏa hiệp, tin tặc sẽ tạo ảnh đó bằng deepfake và ảnh chụp nhanh được lưu trữ trên điện thoại.
Trên thực tế, SpyLend là một phần của phần mềm độc hại giống SpyLoan. Những loại vi-rút này nhắm vào những người dùng Internet muốn kiếm tiền nhanh chóng. Họ giả vờ là các tổ chức tài chính đáng tin cậy và thu hút người dùng bằng những lời hứa về các khoản vay nhanh chóng và dễ dàng. Sau đó, tin tặc sử dụng dữ liệu họ có để tống tiền nạn nhân, những người có tình hình tài chính vốn đã phức tạp. Theo Cyfirma, Finance Simplified đã được tải xuống hơn 100.000 lần thông qua Play Store. Hầu hết nạn nhân đều sống ở Ấn Độ. Báo cáo cho biết ứng dụng "cho thấy lượng tải xuống tăng đáng kể, từ 50.000 lên 100.000 chỉ trong một tuần".
Để vào được cửa hàng mà không bị Google biết, SpyLend tải một cửa sổ bằng WebView, một thành phần hiển thị các trang web trong ứng dụng. Trang web này sau đó sẽ chuyển hướng người dùng đến một trang web bên ngoài. Từ trang web này, người dùng có thể tải xuống ứng dụng vay dưới dạng tệp APK. Do đó, phần ứng dụng có chứa nội dung vi phạm các quy tắc của Google sẽ không bao giờ được đưa lên Play Store.
Được công ty bảo mật cảnh báo, Google đã nhanh chóng loại ứng dụng khỏi Play Store. Đây không phải là lần đầu tiên ứng dụng SpyLoan xuất hiện trên Play Store mà Google không hề hay biết. Tháng 11 năm ngoái, 15 ứng dụng Android được thiết kế để tống tiền đã xuất hiện trên nền tảng này. Một năm trước đó, 18 ứng dụng tương tự đã bị phát hiện.
Nguồn: Cyfirma
Sau khi được cài đặt trên điện thoại thông minh của mục tiêu, trước tiên, vi-rút sẽ yêu cầu một loạt các quyền. Với những quyền này được yêu cầu một cách giả mạo, phần mềm độc hại sẽ thu thập một lượng lớn dữ liệu, chẳng hạn như danh sách liên lạc, lịch sử cuộc gọi, tin nhắn SMS, ảnh và vị trí của thiết bị. Các nhà nghiên cứu cũng quan sát việc thu thập toàn bộ lịch sử vị trí của người dùng, 20 mục nhập clipboard gần nhất, lịch sử vay mượn và tin nhắn giao dịch ngân hàng qua SMS. Dữ liệu cá nhân này sau đó sẽ được tội phạm mạng bí mật thu thập.
Tống tiền bằng ảnh riêng tư
Ứng dụng sau đó sẽ hoạt động như mong đợi bằng cách cung cấp cho người dùng cơ hội vay với lãi suất cao. Để đánh lừa mục tiêu, ứng dụng này giả mạo là của các công ty tài chính phi ngân hàng đã đăng ký (NBFC). Các công ty này chịu sự quản lý của các cơ quan tài chính cụ thể, nhưng không phải tuân theo các quy tắc giống như ngân hàng. Trên thực tế, Finance Simplified không phải do một công ty đã đăng ký phát triển. Ứng dụng này là "cổng vào các ứng dụng cho vay nặng lãi" bất hợp pháp. Sau khi khoản vay được chấp thuận, tin tặc sẽ sử dụng thông tin bị đánh cắp để tống tiền người dùng nhiều tiền hơn và gây áp lực cho họ. Theo các báo cáo trên Play Store cho thấy, những kẻ lừa đảo không ngần ngại đe dọa nạn nhân sẽ công khai ảnh nhạy cảm của mình nếu họ thanh toán chậm. Nếu không tìm thấy ảnh thỏa hiệp, tin tặc sẽ tạo ảnh đó bằng deepfake và ảnh chụp nhanh được lưu trữ trên điện thoại.
Một trường hợp mới của SpyLoan
Trên thực tế, SpyLend là một phần của phần mềm độc hại giống SpyLoan. Những loại vi-rút này nhắm vào những người dùng Internet muốn kiếm tiền nhanh chóng. Họ giả vờ là các tổ chức tài chính đáng tin cậy và thu hút người dùng bằng những lời hứa về các khoản vay nhanh chóng và dễ dàng. Sau đó, tin tặc sử dụng dữ liệu họ có để tống tiền nạn nhân, những người có tình hình tài chính vốn đã phức tạp. Theo Cyfirma, Finance Simplified đã được tải xuống hơn 100.000 lần thông qua Play Store. Hầu hết nạn nhân đều sống ở Ấn Độ. Báo cáo cho biết ứng dụng "cho thấy lượng tải xuống tăng đáng kể, từ 50.000 lên 100.000 chỉ trong một tuần".
Để vào được cửa hàng mà không bị Google biết, SpyLend tải một cửa sổ bằng WebView, một thành phần hiển thị các trang web trong ứng dụng. Trang web này sau đó sẽ chuyển hướng người dùng đến một trang web bên ngoài. Từ trang web này, người dùng có thể tải xuống ứng dụng vay dưới dạng tệp APK. Do đó, phần ứng dụng có chứa nội dung vi phạm các quy tắc của Google sẽ không bao giờ được đưa lên Play Store.
Được công ty bảo mật cảnh báo, Google đã nhanh chóng loại ứng dụng khỏi Play Store. Đây không phải là lần đầu tiên ứng dụng SpyLoan xuất hiện trên Play Store mà Google không hề hay biết. Tháng 11 năm ngoái, 15 ứng dụng Android được thiết kế để tống tiền đã xuất hiện trên nền tảng này. Một năm trước đó, 18 ứng dụng tương tự đã bị phát hiện.
Nguồn: Cyfirma
