Siber güvenlik araştırmacıları, Google Play Store’da Android için toplu olarak 12 milyondan fazla indirilen 18 kötü amaçlı kredi uygulaması keşfetti.
“Bu hizmetler, çekici görünümlerine rağmen aslında aldatıcı açıklamalarla desteklenen yüksek faizli krediler sunarak kullanıcıları dolandırmak, kurbanlarının kişisel ve mali bilgilerini toplayarak onlara şantaj yapmak ve sonunda paralarını kazanmak için tasarlandı. ” dedi ESET.
Slovak siber güvenlik şirketi bu uygulamaları şu adla izliyor: Casus Kredibunların Güneydoğu Asya, Afrika ve Latin Amerika’da bulunan potansiyel borçluları hedef almak üzere tasarlandıklarını belirtiyor.
Google tarafından kaldırılan uygulamaların listesi aşağıda:
- AA Kredit: Anında Kredi Uygulaması (com.aa.kredit.android)
- Amor Cash: Bürosu Olmayan Krediler (com.amorcash.credito.prestamo)
- Altın Kredisi – Hızlı Nakit (com.app.lo.go)
- Cashwow (com.cashwow.cow.eg)
- CrediBus Kredi kredileri (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
- Güvenle borç alın – Hızlı Borç Alın (com.flashloan.wsft)
- CreditLoans – GuayabaCash (com.guayaba.cash.credit.mx.tala)
- Kredi Kredileri-YumiCash (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
- Crédito’ya gidin – güvenilir (com.mlo.xango)
- Anında Kredi (com.mmp.optima)
- Büyük sandık (com.mxolp.postloan)
- Hızlı Kredi (com.okey.prestamo)
- Finupp Borç Verme (com.shuiyiwenhua.gl)
- 4S Nakit (com.swefjjghs.weejteop)
- TrueNaira – Çevrimiçi Kredi (com.truenaira.cashloan.moneycredit)
- EasyCash (king.credit.ng)
- Güvenli kredi – kullanışlı (com.sc.safe.credit)
SMS mesajları ve Twitter, Facebook ve YouTube gibi sosyal medya kanalları, önde gelen enfeksiyon yolları olarak hareket ediyor, ancak uygulamalar aynı zamanda dolandırıcılık web sitelerinden ve üçüncü taraf uygulama mağazalarından da indirilebiliyor.
ESET güvenlik araştırmacısı Lukáš Štefanko, “Bu hizmetlerin hiçbiri bir web sitesi kullanarak kredi talep etme seçeneği sunmuyor, çünkü şantajcılar bir tarayıcı aracılığıyla akıllı telefonda depolanan ve şantaj için gerekli olan tüm hassas kullanıcı verilerine erişemiyor.” dedi.
Uygulamalar, geçmişi 2020’ye kadar uzanan daha geniş bir planın parçası ve Kaspersky, Lookout ve Zimperium’un geçen yıl ortaya çıkardığı ve borçluları tuzağa düşürmek için “kurbanların hızlı para kazanma arzusunu istismar eden Android ve iOS için 300’den fazla uygulamadan oluşan bir dilime ekleniyor” yağmacı kredi sözleşmelerine giriyor ve onlardan kişiler ve SMS mesajları gibi hassas bilgilere erişim izni vermelerini talep ediyor.”
SpyLoan operatörlerinin, güvenliği ihlal edilmiş cihazlardan bilgi toplamanın yanı sıra, fotoğraf ve videolarını sosyal medya platformlarında yayınlamakla tehdit ederek mağdurları ödeme yapmaya zorlamak için şantaj ve taciz taktiklerine başvurdukları da gözlemlendi.
The Hacker News tarafından tespit edilen ve bu Şubat ayının başlarında Google Play Yardım Topluluğu’nda yayınlanan bir mesajda Nijeryalı bir kullanıcı, EasyCash’in “kurbanlarına sahtekarlıkla yüksek ve fahiş faiz oranlarıyla kredi verdiği ve şantaj tehditleri kullanarak zorla ödeme yaptırdığı” yönünde çağrıda bulundu. Borçlunun adresini ve banka kimlik numarası (BVN) dahil olmak üzere tam hükümet adını bildikleri halde, yine de insanları utandırarak gereksiz baskı ve paniğe maruz bırakarak insanları utandırmaya devam ediyorlar.”
Ayrıca uygulamalar, kullanıcıların medya dosyaları, kameraları, takvimi, kişileri, arama kayıtları ve SMS mesajları için neden izinlere ihtiyaç duyduklarını açıklamak için yanıltıcı gizlilik politikaları kullanıyor. Bazı uygulamalar, operasyonlarına bir meşruiyet perdesi kazandırmak amacıyla, çalıntı ofis ortamı fotoğrafları ve stok görselleriyle dolu sahte web sitelerine bağlantılar da içeriyordu.
Bu tür casus yazılım tehditlerinin oluşturduğu riskleri azaltmak için, uygulamaları indirirken resmi kaynaklara bağlı kalmanız, bu tür tekliflerin orijinalliğini doğrulamanız ve kurulumdan önce incelemelere ve izinlere çok dikkat etmeniz önerilir.
Štefanko, SpyLoan’un “borçluların çevrimiçi finansal hizmet ararken karşılaştıkları risklerin önemli bir hatırlatıcısı” olduğunu söyledi. “Bu kötü niyetli uygulamalar, çok çeşitli kişisel bilgileri aldatmak ve çalmak için karmaşık teknikler kullanarak, kullanıcıların meşru kredi sağlayıcılara duyduğu güveni istismar ediyor.”
Bu gelişme aynı zamanda, ücretsiz hareket eden bir akış uygulaması görünümüne bürünen ve ekran içeriğini çalmak, çalışma zamanı modüllerini indirmek ve hedeflenen uygulamalardan kimlik bilgilerini çıkarmak için katman enjeksiyonu gibi yükseltilmiş yeteneklerle donatılmış olarak gelen TrickMo adlı bir Android bankacılık truva atının yeniden dirilişini de takip ediyor. Kötü amaçlı kodunu gizlemek için JsonPacker’ı kullanmak.
Cyble geçen hafta yaptığı bir analizde, “Kötü amaçlı yazılımın yer paylaşımlı saldırılara geçişi, kod gizleme için JsonPacker’ı kullanması ve komuta ve kontrol sunucusuyla tutarlı davranışı, tehdit aktörünün stratejilerini iyileştirme konusundaki kararlılığını vurguluyor” dedi.