Une campagne de logiciels malveillants Android précédemment non documentée a été observée utilisant des applications de prêt d’argent pour faire chanter les victimes afin qu’elles paient avec des informations personnelles volées sur leurs appareils.
La société de sécurité mobile Zimperium a surnommé l’activité MoneyMonger, soulignant l’utilisation du framework Flutter multiplateforme pour développer les applications.
MoneyMonger « tire parti du cadre de Flutter pour masquer les fonctionnalités malveillantes et compliquer la détection des activités malveillantes par analyse statique », ont déclaré les chercheurs de Zimperium Fernando Sanchez, Alex Calleja, Matteo Favaro et Gianluca Braga dans un rapport partagé avec breachtrace.
« En raison de la nature de Flutter, le code et l’activité malveillants se cachent désormais derrière un cadre en dehors des capacités d’analyse statique des produits de sécurité mobiles hérités. »
La campagne, qui serait active depuis mai 2022, fait partie d’un effort plus large précédemment divulgué par la société indienne de cybersécurité K7 Security Labs.
Aucune des 33 applications utilisées dans le stratagème trompeur n’a été distribuée via le Google Play Store. Au lieu de cela, les applications de prêt d’argent sont disponibles via des magasins d’applications non officiels ou téléchargées sur les téléphones via des sites Web compromis, des publicités malveillantes ou des campagnes sur les réseaux sociaux.
Une fois installé, le malware présente un risque car il est conçu pour inciter les utilisateurs à lui accorder des autorisations intrusives sous prétexte de garantir un prêt, et récolter un large éventail d’informations privées.
Les données collectées – qui comprennent les emplacements GPS, les SMS, les contacts, les journaux d’appels, les fichiers, les photos et les enregistrements audio – sont ensuite utilisées comme moyen de pression pour forcer les victimes à payer des taux d’intérêt excessivement élevés pour les prêts, parfois même dans des cas après le prêt est remboursé.
Pour aggraver les choses, les acteurs de la menace soumettent les emprunteurs au harcèlement en menaçant de révéler leurs informations, d’appeler les personnes de la liste de contacts et d’envoyer des messages abusifs et des photos transformées à partir des appareils infectés.
L’ampleur de la campagne n’est pas claire en raison de l’utilisation du chargement latéral et des magasins d’applications tiers, mais on estime que les applications malveillantes ont accumulé plus de 100 000 téléchargements via le vecteur de distribution.
« La campagne extrêmement nouvelle de logiciels malveillants MoneyMonger met en évidence une tendance croissante des acteurs malveillants à utiliser le chantage et les menaces pour escroquer les victimes d’argent », a déclaré Richard Melick, directeur du renseignement sur les menaces mobiles chez Zimperium, dans un communiqué.
« Les programmes de prêts rapides sont souvent remplis de modèles prédateurs, tels que des taux d’intérêt élevés et des systèmes de remboursement, mais l’ajout de chantage à l’équation augmente le niveau de malveillance. »
Les résultats surviennent deux semaines après que Lookout a découvert près de 300 applications de prêt mobile sur Google Play et l’App Store d’Apple qui ont collectivement plus de 15 millions de téléchargements et se sont révélées avoir un comportement prédateur.
Non seulement ces applications exfiltrent des volumes extraordinaires de données utilisateur, mais elles s’accompagnent également de frais cachés, de taux d’intérêt élevés et de conditions de paiement qui sont utilisées pour forcer les victimes à payer des prêts frauduleux.
« Ils exploitent le désir des victimes d’obtenir rapidement de l’argent pour piéger les emprunteurs dans des contrats de prêt prédateurs et les obliger à donner accès à des informations sensibles telles que les contacts et les SMS », a noté Lookout à la fin du mois dernier.
Les pays en développement sont une cible de choix pour les applications de prêt douteuses, car les prêts numériques ont connu une croissance explosive sur des marchés comme l’Inde, où les gens se tournent involontairement vers ces plateformes après avoir été refusés par les banques pour ne pas avoir satisfait aux exigences de revenu.
La nature exploitante des conditions de prêt personnel a également conduit à de multiples incidents de suicide dans le pays, incitant le gouvernement indien à lancer des travaux sur une liste blanche d’applications de prêt numérique légales autorisées dans les magasins d’applications.
Google, en août, a révélé qu’il avait supprimé plus de 2 000 applications de décaissement de crédit de son Play Store en Inde depuis le début de l’année pour violation de ses conditions.
Le gouvernement a également demandé une action urgente et stricte de la part des forces de l’ordre contre les applications de prêt, dont la majorité sont sous contrôle chinois, qui se sont avérées utiliser le harcèlement, le chantage et des techniques de récupération sévères.