Kredi hizmetleri ve fonlara kolay erişim sağlıyormuş gibi görünen birkaç Android kredi uygulamasının, kurbanlardan kişisel ve finansal bilgiler toplayan kötü amaçlı uygulamalar olduğu tespit edildi.
Bu uygulamalar, kullanıcıların hassas bilgilerini topladıkları ve bunları şantaj amacıyla kullandıkları için “SpyLoan” uygulamaları olarak tanımlanmaktadır. Google Play’de bulunan 17’den fazla uygulama keşfedildi, rapor edildi ve ardından kaldırıldı.
Bu uygulamalara ilişkin incelemelere göre, bu uygulamaların sahipleri, kullanıcılara kredi verilmemesine rağmen müşterileri taciz ediyordu. Bu uygulamaların hedeflenen kullanıcıları Güneydoğu Asya, Afrika ve Latin Amerika’da bulunuyordu.
Bu uygulamalar mağdurlar arasında sosyal medya, SMS mesajları ve dolandırıcılık siteleri aracılığıyla dağıtıldı. Bu uygulamaların hepsinin aynı davranış ve işlevlere sahip olduğunu unutmamak önemlidir.
Bu uygulamaların operatörleri ağırlıklı olarak Meksika, Endonezya, Tayland, Vietnam, Hindistan, Pakistan, Kolombiya, Peru, Filipinler, Mısır, Kenya, Nijerya ve Singapur’dandı.
Kötü Amaçlı Android Kredi Uygulamaları
Bu uygulamalar kurbanın cihazına yüklendikten sonra, hizmet şartlarını kabul etmeleri isteniyor ve cihaz için çok fazla izin vermeleri isteniyor. Bu izinler, kullanıcıların cihazdaki hassas bilgilere erişmesine olanak tanır. Kullanıcının ikamet ettiği ülkeyi doğrulamak için cep telefonu numarası kayıt işlemi de yapılır.
Kredi başvuru sürecini tamamlamak için kullanıcılardan iletişim bilgileri, adres bilgileri, gelir belgesi, banka hesap bilgileri ve selfie onayları gibi kişisel bilgileri vermeleri isteniyor.
Bu uygulamalar, bu bilgilerin yanı sıra hesapların bir listesini, arama günlüklerini, takvim etkinliklerini, cihaz bilgilerini, yüklü uygulamalar listesini, yerel Wi-Fi ağı bilgilerini ve cihazdaki resim ve fotoğrafların diğer EXIF meta verilerini de toplar.
Veri Sızıntısı ve İşleyiş Yöntemleri
Toplanan bu bilgiler daha sonra kod gizleme, şifrelenmiş dizeler ve C2 sunucusu ile cihaz arasındaki şifreli iletişim gibi çeşitli tekniklerle C&C sunucusuna aktarılır.
Ancak Google, Mayıs 2023’te Google Play politikalarını güncelleyerek uygulamaların resimler, videolar, kişiler, telefon numaraları, konum ve depolama erişimi gibi hassas bilgilere erişmesini istemesini yasakladı.
Bu politika birçok uygulamanın Google Play’e girmesini yasaklasa da mevcut uygulamalara hâlâ tüm bu izinler sağlanıyordu.
Üstelik bu uygulamaların mağdurları, uygulama operatörlerinden zorla daha fazla para almakla tehdit ediliyor. Bu tür uygulamalar özellikle acil paraya ihtiyacı olan hassas durumdaki bireyleri ve meşru finansal kurumlara erişimi sınırlı olan borçluları etkiledi.
Bu tür kötü niyetli şantaj uygulamalarına ilişkin kaynak kodu, operasyonlar ve diğerleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Dosyalar
| SHA-1 | Dosya adı | Tespit etme | Tanım |
| 136067AC519C23EF7B9E8EB788D1F5366CCC5045 | com.aa.kredit.android.apk | Android/SpyLoan.AN | SpyLoan kötü amaçlı yazılımı. |
| C0A6755FF0CCA3F13E3C9980D68B77A835B15E89 | com.amorcash.credito.prestamo.apk | Android/SpyLoan.BE | SpyLoan kötü amaçlı yazılımı. |
| 0951252E7052AB86208B4F42EB61FC40CA8A6E29 | com.app.lo.go.apk | Android/Spy.Agent.CMO | SpyLoan kötü amaçlı yazılımı. |
| B4B43FD2E15FF54F8954BAC6EA69634701A96B96 | com.cashwow.cow.eg.apk | Android/Spy.Agent.EY | SpyLoan kötü amaçlı yazılımı. |
| D5104BB07965963B1B08731E22F00A5227C82AF5 | com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk | Android/Spy.Agent.CLK | SpyLoan kötü amaçlı yazılımı. |
| F79D612398C1948DDC8C757F9892EFBE3D3F585D | com.flashloan.wsft.apk | Android/Spy.Agent.CNB | SpyLoan kötü amaçlı yazılımı. |
| C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC | com.guava.cash.credit.mx.look.apk | Android/Spy.Agent.CLK | SpyLoan kötü amaçlı yazılımı. |
| E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534 | com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk | Android/SpyLoan.NO | SpyLoan kötü amaçlı yazılımı. |
| 9C430EBA0E50BD1395BB2E0D9DDED9A789138B46 | com.mlo.xango.apk | Android/Spy.Agent.CNA | SpyLoan kötü amaçlı yazılımı. |
| 6DC453125C90E3FA53988288317E303038DB3AC6 | com.mmp.optima.apk | Android/Spy.Agent.CQX | SpyLoan kötü amaçlı yazılımı. |
| 532D17F8F78FAB9DB953970E22910D17C14DDC75 | com.mxolp.postloan.apk | Android/Spy.KreditSpy.E | SpyLoan kötü amaçlı yazılımı. |
| 720127B1920BA8508D0BBEBEA66C70EF0A4CBC37 | com.okey.prestamo.apk | Android/Spy.Agent.CNA | SpyLoan kötü amaçlı yazılımı. |
| 2010B9D4471BC5D38CD98241A0AB1B5B40841D18 | com.shuiyiwenhua.gl.apk | Android/Spy.KreditSpy.C | SpyLoan kötü amaçlı yazılımı. |
| 892CF1A5921D34F699691A67292C1C1FB36B45A8 | com.swefjjghs.weejteop.apk | Android/SpyLoan.EW | SpyLoan kötü amaçlı yazılımı. |
| 690375AE4B7D5D425A881893D0D34BB63462DBBF | com.truenaira.cashloan.moneycredit.apk | Android/SpyLoan.FA | SpyLoan kötü amaçlı yazılımı. |
| 1F01654928FC966334D658244F27215DB00BE097 | king.credit.ng.apk | Android/SpyLoan.AH | SpyLoan kötü amaçlı yazılımı. |
| DF38021A7B0B162FA661DB9D390F038F6DC08F72 | om.sc.safe.credit.apk | Android/Spy.Agent.CME | SpyLoan kötü amaçlı yazılımı. |
Ağ
| İhtisas | Barındırma sağlayıcısı | İlk görüş | Detaylar |
| pss.aakredit[.]içinde | Amazon.com, Inc. | 2023-03-27 | C&C sunucusu. |
| www.guayabacash[.]iletişim | Amazon.com, Inc. | 2021-10-17 | C&C sunucusu. |
| örneğin. easycredit-app[.]iletişim | Amazon.com, Inc. | 2022-11-26 | C&C sunucusu. |
| ag.ahymvoxxg[.]iletişim | HUAWEI BULUTLARI | 2022-05-28 | C&C sunucusu. |
| hwpamjvk.whcashph[.]iletişim | Alibaba (ABD) Technology Co., Ltd. | 2020-01-22 | C&C sunucusu. |
| qt.qtzreop[.]iletişim | Alibaba (ABD) Technology Co., Ltd. | 2022-03-22 | C&C sunucusu. |
| dinlenme.bhvbhgvh[.]uzay | Alibaba (ABD) Technology Co., Ltd. | 2021-10-26 | C&C sunucusu. |
| la6gd.cashwow[.]kulüp | Alibaba (ABD) Technology Co., Ltd. | 2022-10-28 | C&C sunucusu. |
| mpx.mpxoptim[.]iletişim | Alibaba (ABD) Technology Co., Ltd. | 2023-04-24 | C&C sunucusu. |
| oy.oyeqctus[.]iletişim | ALICLOUD-ABD | 2023-01-27 | C&C sunucusu. |
| iu.iuuaufbt[.]iletişim | Alibaba (ABD) Technology Co., Ltd. | 2022-03-01 | C&C sunucusu. |
| kk.softheartlend2[.]iletişim | IRT-HIPL-SG | 2023-01-28 | C&C sunucusu. |
| www.credibusco[.]iletişim | Amazon.com, Inc. | 2022-03-26 | C&C sunucusu. |
| cy.amorcash[.]iletişim | Cloudflare, Inc. | 2023-01-24 | C&C sunucusu. |
| api.yumicash[.]iletişim | HUAWEI BULUTLARI | 2020-12-17 | C&C sunucusu. |
| app.truenaira[.]ortak | IRT-UCLOUD-HK | 2021-10-18 | C&C sunucusu. |
| apitai.coccash[.]iletişim | Cloudflare, Inc. | 2021-10-21 | C&C sunucusu. |