- ESET upozornil na alarmujúci nárast podvodných Android aplikácií na pôžičky.
- Na prvý pohľad ponúkajú atraktívne možnosti ako sa rýchlo dostať k peniazom.
- Reálnym cieľom má byť špehovanie a následné vydieranie používateľov.
Na Slovákov síce zatiaľ necielia. Stať sa to ale samozrejme časom môže, preto je dobré vedieť, že niečo také sa deje. ESET upozornil na alarmujúci nárast podvodných Android aplikácií na pôžičky, ktoré sa prezentujú ako legitímne služby a sľubujú rýchly a jednoduchý prístup k finančným prostriedkom.
Aplikácie boli umiestnené v Obchode Play. Na prvý pohľad ponúkajú veľmi atraktívne možnosti ako sa rýchlo dostať k peniazom prostredníctvom pôžičky. V skutočnosti sú vytvorené tak, aby používateľov podviedli. A nejde len o to, že v pozadí stojí úžernícky úrok.
Vec sa má tak, že aplikácie zhromažďujú osobné a finančné údaje svojich obetí s primárnym cieľom vydierať ich. Zo strany bezpečnostných odborníkov dostali príznačné označenie SpyLoan, ktorý odkazuje na skutočnosť, že vykonávajú špehovanie v kombinácii s napojením na pôžičkovú povahu.
Aplikácie SpyLoan sú propagované prostredníctvom sociálnych sietí a SMS správ a sú dostupné na stiahnutie zo špecializovaných podvodných webových stránok, obchodov s aplikáciami tretích strán a tiež Google Play.
SpyLoan
Identifikovaných bolo 18 aplikácií typu SpyLoan, ktoré ESET nahlásil priamo spoločnosti Google. Tá mala promptne odstrániť 17 z nich. Pred odstránením z Google Play sa im podarilo nazbierať viac ako 12 miliónov stiahnutí.
Každá z aplikácií SpyLoan, bez ohľadu na jej zdroj, sa správa identicky vďaka totožnému základnému kódu. Nezáleží na tom, či bola aplikácia stiahnutá z podozrivej webovej stránky, z obchodu s aplikáciami tretej strany alebo dokonca z Google Play. Používatelia aplikácií sa stretnú s rovnakými funkciami a budú čeliť rovnakým rizikám bez ohľadu na to, odkiaľ aplikáciu získali.
Okrem zberu údajov a vydierania tieto služby aj zneužívajú zraniteľné osoby formou novodobej digitálnej úžery, ktorá sa týka účtovania nadmerných úrokových sadzieb za pôžičky.
Obete týchto aplikácií tvrdia, že celkové ročné náklady takýchto úverov sú oveľa vyššie a doba ich splatnosti je oveľa kratšia, ako sa uvádza. V niektorých prípadoch boli dlžníci nútení splatiť pôžičku do piatich dní namiesto uvádzaných 91 dní a celkové ročné náklady úveru sa pohybovali od 160 % do 340 %.
Podľa telemetrických údajov pôsobia útočníci v pozadí týchto aplikácií, ktorí vydierajú a obťažujú svoje obete aj vyhrážkami smrťou, najmä v Mexiku, Indonézii, Thajsku, Vietname, Indii, Pakistane, Kolumbii, Peru, na Filipínach, v Egypte, Keni, Nigérii a Singapure.
Pozitívnou správou je, že v súčasnosti nie sú aktívne žiadne kampane zamerané na európske krajiny, USA alebo Kanadu. Aspoň nateraz. Ako to ale býva zvykom, útočníci môžu svoje lovné pole pomerne ľahko rozšíriť aj na potenciálne obete z ďalších krajín.
Zbierajú citlivé dáta
Výskumníci spoločnosti ESET vystopovali pôvod schémy SpyLoan až do roku 2020. Po nainštalovaní aplikácie SpyLoan je používateľ vyzvaný, aby prijal podmienky služby a udelil rozsiahle povolenia na prístup k citlivým údajom uloženým v zariadení.
Podľa zásad ochrany osobných údajov týchto aplikácií sa v prípade neudelenia týchto povolení pôžička neposkytne. Na dokončenie procesu žiadosti o pôžičku sú používatelia tiež nútení poskytnúť rozsiahle osobné údaje. To na prvý pohľad nemusí vyzerať príliš podozrivo, pretože má ísť o aplikácie, ktoré pracujú s financiami. Navyše dnes sú populárne rôzne menšie, no úspešné technologické služby s financiami, takzvané FinTech služby.
Realita je však taká, že hoci legitímne finančné inštitúcie sú povinné zhromažďovať osobné údaje o svojich zákazníkoch, overenie totožnosti a posúdenie rizika možno vykonať pomocou oveľa menej invazívnych metód zhromažďovania údajov.
Údaje ale zahŕňajú zoznam účtov používateľa, protokoly hovorov, udalosti kalendára, informácie o zariadení, zoznamy nainštalovaných aplikácií, informácie o miestnej sieti Wi-Fi a dokonca aj informácie o súboroch v zariadení. Okrem toho sú zraniteľné aj zoznamy kontaktov, údaje o polohe a správy SMS.
Po nainštalovaní takejto aplikácie a zhromaždení osobných údajov začnú útočníci na svoje obete vyvíjať nátlak, aby zaplatili, aj keď – podľa recenzií – používateľ nepožiadal o pôžičku alebo požiadal o pôžičku, ale pôžička nebola schválená. Takéto praktiky boli opísané v recenziách týchto aplikácií na Facebooku a v službe Google Play.