Genel olarak SpyLoan olarak adlandırılan bir düzineden fazla kötü amaçlı kredi uygulaması, bu yıl Google Play’den 12 milyondan fazla indirildi, ancak üçüncü taraf mağazalarda ve şüpheli web sitelerinde de mevcut olduğundan bu sayı çok daha fazla.
SpyLoan Android tehditleri, tüm hesapların bir listesini, cihaz bilgilerini, arama kayıtlarını, yüklü uygulamaları, takvim etkinliklerini, yerel Wi-Fi ağı ayrıntılarını ve görüntülerden meta verileri içeren cihazın kişisel verilerini çalar. Araştırmacılar, riskin aynı zamanda kişi listesi, konum verileri ve metin mesajlarını da kapsadığını söylüyor.
“Fonlara hızlı ve kolay erişim” vaat eden kişisel krediler için meşru finansal hizmetler gibi görünüyorlar. Ancak kullanıcıları yüksek faizli ödemeleri kabul etmeleri için kandırıyorlar ve ardından tehdit aktörü mağdurlara parayı ödemeleri için şantaj yapıyor.
Yılın başından bu yana, kendisini Google Play’deki kötü amaçlı yazılımları tespit etmeye ve ortadan kaldırmaya adamış App Defense Alliance’ın bir üyesi olan siber güvenlik şirketi ESET, 18 SpyLoan uygulaması keşfetti.
Google, ESET’in raporuna tepki gösterdi ve kötü amaçlı uygulamalardan 17’sini kaldırdı; bunlardan biri artık farklı izin ve işlevlerle kullanıma sunuldu ve artık SpyLoan tehdidi olarak algılanmıyor.
SpyLoan’ın Yükselişi
ESET, Lookout, Zimperium ve Kaspersky’ye göre SpyLoan uygulamaları ilk olarak 2020’de görüldü ancak geçen yıldan itibaren hem Android hem de iOS sistemlerinde daha yaygın hale geldi.
ESET, mevcut dağıtım kanallarının sahte web siteleri, üçüncü taraf uygulama mağazalarındaki yazılımlar ve Google Play’i içerdiğini söylüyor.
ESET’ten alınan verilere göre SpyLoan tespiti 2023 yılı boyunca arttı; tehdit Meksika, Hindistan, Tayland, Endonezya, Nijerya, Filipinler, Mısır, Vietnam, Singapur, Kenya, Kolombiya ve Peru’da daha belirgin hale geldi.
Google Play’e sızmak için bu uygulamalar uyumlu gizlilik politikalarıyla birlikte gönderilir, gerekli müşterinizi tanıyın (KYC) standartlarını takip eder ve şeffaf izin isteklerine sahiptir.
Çoğu durumda, sahte uygulamalar, meşru şirket sitelerinin açık bir şekilde kopyası olan web sitelerine bağlantı veriyor, hatta sahte bir orijinallik hissi yaratmak için çalışan ve ofis fotoğraflarını bile gösteriyor.
Çok yönlü riskler
SpyLoan uygulamaları, bireysel kredilerin vadesini tek taraflı olarak birkaç güne veya başka herhangi bir keyfi süreye kısaltarak ve uymamaları halinde kullanıcıyı alay ve ifşa etmekle tehdit ederek Google’ın Finansal Hizmetler politikasını ihlal eder.
Ayrıca gizlilik politikalarında bahsedilenler yanıltıcıdır ve riskli izinler almak için görünüşte meşru nedenler sunmaktadır.
Örneğin, KYC için fotoğraf verilerinin yüklenmesine ve ödeme tarihlerini ve hatırlatıcıları planlamak üzere kullanıcının takvimine erişime izin vermek için kamera izninin gerekli olduğu varsayılıyor, ancak bunlar son derece müdahaleci uygulamalardır.
Üstelik SpyLoan uygulamaları, saçma ödeme taleplerine direndiklerinde kullanıcılara şantaj yapmak için kullandıkları arama kayıtlarına ve kişi listelerine erişim gibi hiç ihtiyaç duyulmaması gereken izinler talep ediyor.
(ESET)
ESET, “Bu SpyLoan uygulamaları teknik olarak bir gizlilik politikasına sahip olmanın gerekliliklerine uygun olsa da, uygulamaları açıkça finansal hizmetler sağlamak ve KYC bankacılık standartlarına uymak için gerekli veri toplama kapsamının ötesine geçiyor” diye açıklıyor.
Araştırmacılar, “Bu izinlerin asıl amacının, bu uygulamaların kullanıcılarını gözetlemek, onları ve bağlantılarını taciz etmek ve şantaj yapmak olduğuna inanıyoruz” diye ekliyor.
SpyLoan tehdidine karşı korunmak için yalnızca köklü finansal kuruluşlara güvenin, yeni bir uygulama yükledikten sonra istenen izinleri dikkatle inceleyin ve Google Play’de genellikle uygulamanın sahtekarlık niteliğine ilişkin ipuçları içeren kullanıcı yorumlarını okuyun.