SpyLoan マルウェアが Android ユーザー 800 万人に感染

サイバーセキュリティ研究者は、Google Play ストアで合計 800 万回以上ダウンロードされている 12 以上の脅威的なアプリケーションを発見しました。これらのアプリケーションには、欺瞞的な方法でユーザーをターゲットにする SpyLoan という既知の脅威が潜んでいます。インストールされると、これらのアプリケーションは機密データへの不正アクセスを取得し、ユーザーを有害な金融スキームに強制することで被害者を搾取します。

餌：不注意な人のための即金融資

これらのアプリは、メキシコ、コロンビア、セネガル、タイ、インドネシア、ベトナム、タンザニア、ペルー、チリなどの地域のユーザーを対象に、最低限の要件で迅速なローンを提供する業者であると自称しています。資金難に陥った人々を食い物にすることで、即時の救済を求める無防備な個人を引きつけます。

特定されたアプリケーションの中には、Google Play のポリシーに合わせて変更されたものもあります。しかし、根底にあるリスクは依然として存在しており、警戒が必要です。発見された SpyLoan アプリの完全なリストは次のとおりです。

プレスタモ セグロ-ラピド、セグロ (com.prestamosegro.ss )

Préstamo Rápido-Credit Easy (com.voscp.rapido)

ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)

ルピアキラット - ダナケア (com.rupiahkilat.best)

ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)

เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)

KreditKu-Uang オンライン (com.kreditku.kuindo)

ダナ・キラット・ピンジャマン・ケシル (com.winner.rupiahcl)

現金ローン - Vay tiền (com.vay.cashloan.cash)

ラピッドファイナンス (com.restrict.bright.cowboy)

PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)

Huayna Money – プレスタモ ラピド (com.huaynamoney.prestamos.creditos.peru.loan.credit)

IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)

ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)

エコプレト プレト アン リーニュ (com.pret.loan.ligne.personnel)

ソーシャルエンジニアリングと侵入的な権限

SpyLoan が成功している理由は、ソーシャル エンジニアリング戦略に依存している点にあります。このアプリケーションは、被害者を誘い込むために Facebook などのソーシャル メディア プラットフォームで積極的に宣伝することがよくあります。インストールされると、連絡先リスト、通話記録、カメラ データ、さらには SMS メッセージへのアクセスを含む過剰な権限を要求します。これらの権限は、本人確認と詐欺防止を装って正当化されており、アプリが個人情報を秘密裏に収集することを可能にします。

ユーザーは銀行口座情報、従業員の資格情報、政府発行のIDなどの機密情報も提供する必要があります。このデータはAES-128で暗号化され、コマンドアンドコントロール（C2）サーバーに送信されるため、トレース。

繰り返される脅威：SpyLoan の暗い歴史

SpyLoanはオンライン詐欺の世界では新参者ではない。2020年に初めて発見されたが、それ以来さまざまな形で再出現している。2023年12月の報告書では、迅速な融資を提供するという同じ名目で運営されているさらに18の脅威的なアプリケーションが明らかにされた。これらのアプリケーションの目的は同じです。つまり、ユーザーデータを最大限に抽出し、恐喝や嫌がらせを通じて被害者を搾取することです。

収集されたデータは、法外な金利を課したり、期日までに返済しないユーザーを脅迫するために使用される可能性があります。盗まれた個人の写真が被害者を脅迫するために利用された例もあり、これらのアプリが深刻なプライバシー侵害を促進していることが浮き彫りになっています。

共有コード、グローバル展開

SpyLoanアプリケーションは、デザインと機能の両方で統一されたフレームワークを共有していることが判明しています。このモジュール化されたコードベースにより、サイバー犯罪者はこれらのアプリケーションをさまざまな地域に展開し、ローカルの脆弱性を悪用するようにカスタマイズすることができます。ユーザーインターフェイスとターゲット戦略の違いにもかかわらず、これらのアプリは驚くほど似たメカニズムを備えています。

アプリと C2 サーバーの両方のレベルでコードが共通していることから、単一の開発者が関与しているか、サイバー犯罪者に販売された不正なフレームワークが共有されている可能性が示唆されます。このスケーラブルなアプローチにより、当局が特定のオペレーターを解体しようとしても、脅威は持続します。

搾取の連鎖を断ち切る

SpyLoan アプリケーションは、金銭的な困窮だけでなく、アプリ ストアやデジタル プラットフォームに対するユーザーの信頼も利用します。このような脅威から身を守るには、ユーザーは積極的な対策を講じる必要があります。アプリの権限を確認し、ユーザーのレビューを精査し、開発者の資格情報を確認することは、アプリケーションをダウンロードする前に行う重要な手順です。

さらに、ユーザーは、個人データへの不必要なアクセスを要求したり、疑わしい口実で機密文書を要求したりするアプリケーションには注意する必要があります。これらの予防策を講じることで、SpyLoan に関連するような不正なアプリによってもたらされるリスクを軽減できます。

永続的な挑戦

SpyLoan 事件は、デジタル エコシステムにおける世界的な問題を浮き彫りにしています。法執行機関がいくつかの活動を解体することに成功した一方で、同様の戦術を採用する新しいグループが次々と出現しています。継続的な悪用は、こうした詐欺行為を抑制するために、アプリ ストアの規制を強化し、一般の認識を高める必要があることを強調しています。

SpyLoan の継続的な進化は、悪意のある攻撃者が計画を維持するためにどのように適応するかを示しています。モジュール設計を活用し、サービスが行き届いていない市場をターゲットにすることで、攻撃者は絶えず被害者を生み出し、ユーザーを金銭やプライバシーの侵害に対して脆弱な状態にします。警戒を怠らず、情報を得ることが、このような脅威に対する最も効果的な防御策です。