تم تنزيل تطبيق برنامج Android Malware الذي يسمى Spylend أكثر من 100000 مرة من Google Play ، حيث تنكر كأداة مالية ولكنه أصبح تطبيق قرض مفترس لأولئك في الهند.
يندرج التطبيق تحت مجموعة من تطبيقات Android الضارة المسمى “SpyLoan,” التي تتظاهر بأنها أدوات مالية مشروعة أو خدمات القروض ولكن بدلاً من ذلك سرقة البيانات من الأجهزة لاستخدامها في الإقراض المفترس.
تحجب هذه التطبيقات المستخدمين بوعود من القروض السريعة والسهلة ، وغالبًا ما تتطلب القليل من الوثائق وتقديم شروط جذابة. ومع ذلك ، عند التثبيت ، يطلبون أذونات مفرطة ، مما يسمح للتطبيقات بسرقة البيانات الشخصية مثل جهات الاتصال وسجلات المكالمات ورسائل الرسائل القصيرة والصور وموقع الجهاز.
ثم يتم استغلال هذه المعلومات التي تم حصادها لمضايقة المستخدمين والابتزاز والابتزاز ، خاصة إذا فشلوا في تلبية شروط سداد التطبيق.
عمليات احتيال القرض والابتزاز
اكتشفت شركة الأمن السيبراني Cyfirma تطبيق Android اسمه “Finance Simplified” يزعم أنه تطبيق إدارة مالية وقد جمع 100000 تنزيل على Google Play.
ومع ذلك ، ينص Cyfirma على أن التطبيق يعرض سلوكًا ضارًا في بعض البلدان ، مثل الهند ، حيث يسرق البيانات من أجهزة المستخدم لاستخدامها في الإقراض المفترس. يقول الباحثون إنهم اكتشفوا أيضًا ملفات APK ضارة إضافية يبدو أنها متغيرات من نفس حملة البرامج الضارة ، وهي Kreditapple و Pokketme و Stashfur.
على الرغم من أن التطبيق قد تمت إزالته الآن من Google Play ، إلا أنه قد يستمر في التشغيل في الخلفية ، وجمع المعلومات الحساسة من الأجهزة المصابة.
المصدر: BleepingComputer
تُظهر مراجعات المستخدم المتعددة للتمويل المبسطة على Google Play أن التطبيق يقدم خدمات الإقراض التي تحاول ابتزاز المقترضين إذا لم يدفعوا أسعار فائدة عالية.
“Very very very bad app they given low loan amount nd black mail to pay High otherwise photoes edited as a nude nd black mailing,” يقرأ مراجعة المستخدم للتطبيق الذي تم تمييزه الآن.
تدعي التطبيقات أيضًا أنها شركات مالية مسجلة غير مصرفية (NBFCS) ، والتي تقول Cyfirma إنها غير صحيحة.
للتهرب من الكشف على Google Play ، يقوم Finance Simplified بتحميل عرض الويب لإعادة توجيه المستخدمين إلى موقع ويب خارجي من حيث يقومون بتنزيل تطبيق قرض تم استضافته على خادم Amazon EC2.
“The Finance Simplified app appears to target Indian users specifically by displaying and recommending loan applications, loading a WebView that shows a loan service that redirects to an external website where a separate loan APK file is downloaded,” يشرح Cyfirma.
اكتشف الباحثون أن التطبيق سيقوم فقط بتحميل الواجهة الخادعة إذا كان موقع المستخدم هو الهند ، مما يدل على أن الحملة لديها استهداف محدد.
المصدر: Cyfirma
البيانات الحساسة التي سرقتها التطبيق
الجانب الأكثر إثارة للقلق من نشاط البرامج الضارة هو جمع البيانات ، والذي يتضمن معلومات شخصية حساسة مخزنة على جهاز المستخدم.
إليك ملخص للبيانات التي يسرقها البرامج الضارة:
- جهات الاتصال وسجلات المكالمات ورسائل الرسائل القصيرة وتفاصيل الجهاز.
- الصور ومقاطع الفيديو والمستندات من التخزين الداخلي والخارجي.
- تتبع الموقع المباشر (تم تحديثه كل 3 ثوان) ، وبيانات الموقع التاريخي ، وعنوان IP.
- آخر 20 إدخالات نص تم نسخها إلى الحافظة.
- سجل القرض ورسائل المعاملات SMS المصرفية.
على الرغم من أن هذه البيانات تستخدم في المقام الأول لابتزاز الضحايا الذين ارتكبوا خطأ التقدم بطلب للحصول على قرض ، إلا أنه يمكن استخدامها أيضًا للاحتيال المالي أو إعادة بيعها على مجرمي الإنترنت من أجل الربح.
المصدر: Cyfirma
إذا كنت تشك في إصابة جهازك بأي من التطبيقات المذكورة أو ما شابه ذلك ، فقم بإزالتها على الفور ، وإعادة ضبط الأذونات ، وتغيير كلمات مرور الحساب المصرفي ، وإجراء فحص للجهاز.
تكتشف أداة Play Protect الخاصة بـ Google وكتل البرامج الضارة والتطبيقات المفترسة المعروفة ، لذلك تأكد من نشطها على جهازك.