Il malware Android SpyLoan su Google Play è stato scaricato 12 milioni di volte

Più di una dozzina di app di prestito dannose, genericamente denominate SpyLoan, sono state scaricate più di 12 milioni di volte quest'anno da Google Play, ma il numero è molto più elevato poiché sono disponibili anche su negozi di terze parti e siti Web sospetti.

Le minacce SpyLoan Android rubano dal dispositivo i dati personali che includono un elenco di tutti gli account, informazioni sul dispositivo, registri delle chiamate, app installate, eventi del calendario, dettagli della rete Wi-Fi locale e metadati dalle immagini. I ricercatori affermano che il rischio si estende anche all’elenco dei contatti, ai dati sulla posizione e ai messaggi di testo.

Si presentano come servizi finanziari legittimi per i prestiti personali che promettono "un accesso rapido e facile ai fondi". Tuttavia, inducono gli utenti ad accettare pagamenti con interessi elevati e quindi l’autore della minaccia ricatta le vittime affinché paghino i soldi.

Dall'inizio dell'anno, la società di sicurezza informatica ESET, membro dell'App Defense Alliance dedicata al rilevamento e all'eliminazione di malware da Google Play, ha scoperto 18 app SpyLoan.

Google ha reagito alla segnalazione di ESET e ha rimosso 17 app dannose, mentre una di queste è ora disponibile con un diverso set di autorizzazioni e funzionalità e non viene più rilevata come minaccia SpyLoan.

ESET afferma che gli attuali canali di distribuzione includono siti Web fraudolenti, software su app store di terze parti e Google Play.

Sulla base dei dati di ESET, il rilevamento di SpyLoan è aumentato nel corso del 2023, con la minaccia più evidente in Messico, India, Tailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Per infiltrarsi in Google Play, queste app vengono inviate con politiche sulla privacy conformi, seguono gli standard KYC (Know Your Customer) richiesti e hanno richieste di autorizzazione trasparenti.

In molti casi, le app fraudolente si collegano a siti Web che sono palesi imitazioni di siti aziendali legittimi, mostrando persino foto di dipendenti e uffici per creare un falso senso di autenticità.

Rischi multiformi

Le app SpyLoan violano la politica sui servizi finanziari di Google riducendo unilateralmente la durata dei prestiti personali a pochi giorni o qualsiasi altro periodo arbitrario e minacciando l'utente di ridicolo e di denuncia se non si conformano.

Inoltre, ciò che viene menzionato nelle politiche sulla privacy è ingannevole e presenta ragioni apparentemente legittime per ottenere autorizzazioni rischiose.

Ad esempio, si suppone che l’autorizzazione della fotocamera sia necessaria per consentire il caricamento di dati fotografici per KYC e l’accesso al calendario dell’utente per programmare date di pagamento e promemoria, ma queste sono pratiche estremamente invadenti.

"Sebbene queste app SpyLoan rispettino tecnicamente i requisiti di una politica sulla privacy, le loro pratiche vanno chiaramente oltre l'ambito della raccolta dei dati necessaria per fornire servizi finanziari e conformarsi agli standard bancari KYC", spiega ESET.

"Crediamo che il vero scopo di queste autorizzazioni sia spiare gli utenti di queste app e molestare e ricattare loro e i loro contatti", aggiungono i ricercatori.