Scandale SpyLoan : 12 millions d’utilisateurs d’Android arnaqués par des applications de prêt malveillantes

« Malgré leur apparence attrayante, ces services sont en fait conçus pour escroquer les utilisateurs en leur proposant des prêts à taux d’intérêt élevé accompagnés de descriptions trompeuses, tout en collectant les informations personnelles et financières de leurs victimes pour les faire chanter et, à la fin, récupérer leurs fonds », a déclaré ESET.

L’entreprise slovaque de cybersécurité traque ces applications sous le nom de SpyLoan et note qu’elles sont conçues pour cibler des emprunteurs potentiels situés en Asie du Sud-Est, en Afrique et en Amérique latine. La liste des applications, qui ont été retirées par Google, se trouve ci-dessous. Les messages SMS et les canaux de médias sociaux tels que Twitter, Facebook et YouTube constituent les principales voies d’infection, bien que les applications puissent également être téléchargées à partir de sites web frauduleux et de boutiques d’applications tierces.

« Aucun de ces services n’offre la possibilité de demander un prêt par le biais d’un site web, car les extorqueurs ne peuvent pas accéder, par le biais d’un navigateur, à toutes les données sensibles de l’utilisateur qui sont stockées sur un smartphone et qui sont nécessaires pour le chantage », a déclaré Lukáš Štefanko, chercheur en sécurité d’ESET.

Les applications font partie d’un plan plus large qui remonte à 2020 et s’ajoute à une série de plus de 300 applications pour Android et iOS que Kaspersky, Lookout et Zimperium ont découvert l’année dernière et qui exploitaient « le désir des victimes d’obtenir de l’argent rapidement pour piéger les emprunteurs dans des contrats de prêt prédateurs et leur demander d’autoriser l’accès à des informations sensibles telles que les contacts et les messages SMS ». Outre la collecte d’informations à partir d’appareils compromis, les opérateurs de SpyLoan ont également eu recours à des tactiques de chantage et de harcèlement pour pousser les victimes à effectuer des paiements en menaçant de publier leurs photos et vidéos sur les plateformes de médias sociaux. Dans un message identifié par The Hacker News et publié sur Google Play Help Community au début du mois de février, un utilisateur nigérian a accusé EasyCash d' »accorder frauduleusement des prêts à ses victimes avec des taux d’intérêt élevés et exorbitants, de les forcer à payer en les menaçant de chantage, de diffamation et d’assassinat, alors qu’ils ont manifestement l’adresse du débiteur, son nom complet et son numéro d’identification bancaire (BVN), mais qu’ils continuent d’embarrasser les gens en les soumettant à une pression inutile et à la panique ». En outre, les applications utilisent des politiques de confidentialité trompeuses pour expliquer pourquoi elles ont besoin d’autorisations pour les fichiers multimédias, l’appareil photo, le calendrier, les contacts, les journaux d’appels et les messages SMS des utilisateurs. Certaines de ces applications incluent également un lien vers de faux sites web contenant des photos volées d’environnements de bureau, dans le but de donner à leurs opérations un voile de légitimité. Pour réduire les risques posés par ces menaces de logiciels espions, il est conseillé de s’en tenir aux sources officielles de téléchargement d’applications, de valider l’authenticité de ces offres et de prêter une attention particulière à l’examen des autorisations avant l’installation. SpyLoan est un « rappel important des risques auxquels les emprunteurs sont confrontés lorsqu’ils recherchent des services financiers en ligne », a déclaré M. Štefanko. « Ces applications malveillantes exploitent la confiance que les utilisateurs placent dans les fournisseurs de prêts légitimes en utilisant des techniques sophistiquées pour voler un très large éventail d’informations personnelles. Ce développement fait également suite à la résurgence d’un cheval de Troie bancaire Android, baptisé TrickMo, qui se fait passer pour une application gratuite de streaming en mouvement et qui est doté de capacités améliorées telles que le vol du contenu de l’écran, le téléchargement de modules d’exécution, l’injection de superposition, l’extraction d’informations d’identification à partir d’applications ciblées et l’utilisation de JsonPacker pour dissimuler son code malveillant. »La transition du logiciel malveillant vers des attaques par superposition, son utilisation de JsonPacker pour l’obscurcissement du code et son comportement cohérent avec le serveur de contrôle des commandes mettent en évidence l’engagement des acteurs de la menace à affiner leurs stratégies « , a déclaré Cyble dans une analyse réalisée la semaine dernière.

Si vous ne l’êtes pas déjà, commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité. C’est un excellent moyen de rester au fait des dernières tendances et évolutions du secteur. En outre, c’est un excellent moyen de découvrir les nouveaux produits et services qui peuvent vous aider à protéger votre entreprise.