Une application malveillante Android appelée SpyLend a été téléchargée plus de 100 000 fois sur Google Play, où elle s’est déguisée en outil financier mais est devenue une application de prêt prédatrice pour les Indiens.
L’application fait partie d’un groupe d’applications Android malveillantes appelées « SpyLoan », qui prétendent être des outils financiers légitimes ou des services de prêt, mais volent à la place des données sur des appareils pour les utiliser dans des prêts prédateurs.
Ces applications attirent les utilisateurs avec des promesses de prêts rapides et faciles, nécessitant souvent peu de documentation et offrant des conditions attrayantes. Cependant, lors de l’installation, ils demandent des autorisations excessives, permettant aux applications de voler des données personnelles telles que des contacts, des journaux d’appels, des SMS, des photos et l’emplacement de l’appareil.
Ces informations récoltées sont ensuite exploitées pour harceler, extorquer et faire chanter les utilisateurs, en particulier s’ils ne respectent pas les conditions de remboursement de l’application.
Escroqueries et extorsions de prêts
La société de cybersécurité CYFIRMA a découvert une application Android nommée « Finance Simplified » qui prétend être une application de gestion financière et a amassé 100 000 téléchargements sur Google Play.
Cependant, CYFIRMA déclare que l’application affiche un comportement plus malveillant dans certains pays, comme l’Inde, où elle vole des données sur les appareils des utilisateurs pour les utiliser dans des prêts prédateurs. Les chercheurs disent qu’ils ont également découvert d’autres fichiers APK malveillants qui semblent être des variantes de la même campagne de logiciels malveillants, à savoir KreditApple, PokketMe et StashFur.
Bien que l’application ait maintenant été supprimée de Google Play, elle peut continuer à s’exécuter en arrière-plan, collectant des informations sensibles à partir d’appareils infectés.
Plusieurs avis d’utilisateurs sur Finance Simplified sur Google Play montrent que l’application propose des services de prêt qui tentent d’extorquer des emprunteurs s’ils ne paient pas des taux d’intérêt élevés.
« Très très très mauvaise application, ils ont donné un faible montant de prêt et du courrier noir pour payer cher, sinon des photos éditées comme un envoi nu et noir », lit-on dans un avis d’utilisateur pour l’application maintenant retirée.
Les applications prétendent également être des Sociétés financières Non bancaires enregistrées( NBFC), ce qui, selon CYFIRMA, est faux.
Pour échapper à la détection sur Google Play, Finance Simplified charge une vue Web pour rediriger les utilisateurs vers un site Web externe à partir duquel ils téléchargent une application de prêt APK hébergée sur un serveur Amazon EC2.
« L’application Finance Simplified semble cibler spécifiquement les utilisateurs indiens en affichant et en recommandant des demandes de prêt, en chargeant une vue Web qui montre un service de prêt qui redirige vers un site Web externe où un fichier APK de prêt distinct est téléchargé », explique CYFIRMA.
Les chercheurs ont découvert que l’application ne chargerait l’interface trompeuse que si l’emplacement de l’utilisateur est l’Inde, ce qui montre que la campagne a un ciblage spécifique.
Données sensibles volées par une application
L’aspect le plus inquiétant de l’activité des logiciels malveillants est la collecte de données, qui comprend des informations personnelles sensibles stockées sur l’appareil de l’utilisateur.
Voici un résumé des données volées par le malware:
- Contacts, journaux d’appels, messages SMS et détails de l’appareil.
- Photos, vidéos et documents à partir du stockage interne et externe.
- Suivi de localisation en direct (mis à jour toutes les 3 secondes), données de localisation historiques et adresse IP.
- Les 20 dernières entrées de texte copiées dans le presse-papiers.
- Historique des prêts et messages de transaction SMS bancaires.
Bien que ces données soient principalement utilisées pour extorquer les victimes qui ont commis l’erreur de demander un prêt, elles peuvent également être utilisées pour une fraude financière ou revendues à des cybercriminels à des fins lucratives.
Si vous pensez que votre appareil a été infecté par l’une des applications mentionnées ou similaires, supprimez-les immédiatement, réinitialisez les autorisations, modifiez les mots de passe des comptes bancaires et effectuez une analyse de l’appareil.
L’outil Play Protect de Google détecte et bloque les logiciels malveillants connus et les applications prédatrices, alors assurez-vous qu’il est actif sur votre appareil.