Android kullanıcılarını hedef alan SpyLoan adlı zararlı yazılım, Google Play Store’daki kredi uygulamaları üzerinden 8 milyondan fazla indirme alarak milyonlarca kişiyi mağdur etti.
McAfee Labs tarafından yapılan yeni bir analize göre, Google Play Store’da yayınlanan bu kötü niyetli uygulamalar, kullanıcıların hassas bilgilerini ele geçirmek ve mobil uygulamalara ekstra izinler tanımlatmak amacıyla sosyal mühendislik yöntemlerini kullanıyor. Bu durum, dolandırıcılık, taciz ve finansal kayıplara yol açabiliyor.
Hızlı kredi vaadiyle tuzak kuruyorlar
Bu zararlı yazılımlar, hızlı kredi sağlama vaadiyle özellikle Meksika, Kolombiya, Senegal, Tayland, Endonezya, Vietnam, Tanzanya, Peru ve Şili gibi ülkelerdeki kullanıcıları hedef alıyor. Tespit edilen 15 zararlı uygulamadan 5’i hâlâ Google Play Store’da yer alıyor.
Tehlikeli uygulamalar listesi
- Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
- Préstamo Rápido-Credit Easy (com.voscp.rapido)
- ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
- RupiahKilat-Dana cair (com.rupiahkilat.best)
- ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
- เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
- KreditKu-Uang Online (com.kreditku.kuindo)
- Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
- Cash Loan-Vay tiền (com.vay.cashloan.cash)
- RapidFinance (com.restrict.bright.cowboy)
- PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
- Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
- IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
- ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
- ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)
Bu uygulamalar, sosyal medya platformları üzerinden tanıtılarak kullanıcıları kandırmaya yönelik çeşitli yöntemler kullanıyor.
SpyLoan zararlısı tekrar sahnede
SpyLoan, ilk olarak 2020 yılında tespit edilen ve 2023 yılının Aralık ayında yeniden gündeme gelen bir tehdit. Daha önce benzer yöntemlerle yüksek faiz oranlı krediler sunarak kullanıcıların kişisel ve finansal bilgilerini çalmıştı. Amaç, cihazlardan toplanan verilerle kullanıcıları borç geri ödeme baskısı altında bırakmak veya şantaj yaparak daha fazla ödeme talep etmek.
Kişisel veriler tehdit altında
Bu uygulamalar, cihazlardan topladıkları verileri bir komuta ve kontrol (C2) sunucusuna şifreli olarak aktarıyor. Kullanıcılardan kamera erişimi, çağrı kayıtları, rehber, konum ve SMS gibi bir dizi izin talep ediliyor. Verilerin toplanması genellikle kimlik doğrulama ve dolandırıcılığı önleme gerekçesiyle açıklanıyor.
Kullanıcıların hizmete kayıt olabilmesi için tek kullanımlık şifre (OTP) ile telefon numaraları doğrulanıyor ve kimlik belgeleri, banka hesap bilgileri ve işyeri bilgileri gibi ek veriler talep ediliyor. Bu bilgiler AES-128 şifreleme yöntemiyle gizlenerek sunuculara gönderiliyor.
Kullanıcılar nasıl korunabilir?
Bu tür uygulamalara karşı korunmak için izin taleplerini dikkatle incelemek, kullanıcı yorumlarını değerlendirmek ve uygulama geliştiricisinin meşruiyetini doğrulamak önemlidir.
“SpyLoan gibi zararlı yazılımlar, kullanıcıların güvenini ve finansal çaresizliğini sömürerek küresel bir tehdit oluşturuyor,” diyen güvenlik araştırmacısı Fernando Ruiz, bu dolandırıcılık faaliyetlerine karşı dikkatli olunması gerektiğini belirtti.
SpyLoan uygulamalarının aynı kod tabanını kullanarak dünya genelinde farklı pazarlar için uyarlanmış sürümler geliştirdiği ve bu şekilde dolandırıcılık modelini sürekli kıldığı tahmin ediliyor.