Siber Muhbir

ESET, "Çekici görünümlerine rağmen, bu hizmetler aslında kullanıcıları aldatıcı açıklamalarla onaylanan yüksek faizli krediler sunarak dolandırmak için tasarlandı, tüm bunlar kurbanlarının kişisel ve finansal bilgilerini şantaj yapmak için toplarken ve sonunda paralarını kazanıyor" dedi.

Slovak siber güvenlik şirketi, Güneydoğu Asya, Afrika ve Latin Amerika'da bulunan potansiyel borçluları hedeflemek için tasarlandıklarını belirterek bu uygulamaları SpyLoan adı altında izliyor.

Şu anda Google tarafından kaldırılan uygulamaların listesi aşağıdadır -

• AA Kredit: इंस्टेंट लोन ऐप (com.aa.kredit.android)
• Amor Cash: Préstamos Sin Buró (com.amorcash.credito.prestamo)
• Oro Préstamo - Efectivo rápido (com.app.lo.go)
• Cashwow (com.cashwow.cow.eg)
• CrediBus Préstamos de crédito (com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
• ยืมด้วยความมั่นใจ - ยืมด่วน (com.flashloan.wsft)
• PréstamosCrédito - GuayabaCash (com.guayaba.cash.okredito.mx.tala)
• Préstamos De Crédito-YumiCash (com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
• Go Crédito - de confianza (com.mlo.xango)
• Instantáneo Préstamo (com.mmp.optima)
• Cartera grande (com.mxolp.postloan)
• Rápido Crédito (com.okey.prestamo)
• Finupp Lending (com.shuiyiwenhua.gl)
• 4S Cash (com.swefjjghs.weejteop)
• TrueNaira – Online Loan (com.truenaira.cashloan.moneycredit)
• EasyCash (king.credit.ng)
• สินเชื่อปลอดภัย - สะดวก (com.sc.safe.credit)

SMS mesajları ve Twitter, Facebook ve YouTube gibi sosyal medya kanalları, uygulamalar dolandırıcı web sitelerinden ve üçüncü taraf uygulama mağazalarından da indirilebilse de, önde gelen enfeksiyon yolları olarak hareket eder.

ESET güvenlik araştırmacısı Lukáš Štefanko, "Bu hizmetlerin hiçbiri bir web sitesini kullanarak kredi talep etme seçeneği sunmuyor, çünkü bir tarayıcı aracılığıyla şantajcılar bir akıllı telefonda depolanan ve şantaj için gerekli olan tüm hassas kullanıcı verilerine erişemiyor" dedi.

Uygulamalar, 2020'ye kadar uzanan daha geniş bir planın parçası ve Kaspersky, Lookout ve Zimperium'un geçen yıl ortaya çıkardığı ve "kurbanların borçluları yağmacı kredi sözleşmelerine tuzağa düşürmek ve kişiler ve SMS mesajları gibi hassas bilgilere erişim izni vermelerini istemek için hızlı nakit arzusunu" istismar eden Android ve iOS için 300'den fazla uygulama dilimine ekleniyor.

Güvenliği ihlal edilmiş cihazlardan bilgi toplamanın yanı sıra, SpyLoan operatörlerinin, fotoğraflarını ve videolarını sosyal medya platformlarında yayınlamakla tehdit ederek mağdurları ödeme yapmaya zorlamak için şantaj ve taciz taktiklerine başvurdukları da gözlemlendi.

Tespit edilen ve bu Şubat ayının başlarında Google Play Yardım Topluluğu'nda yayınlanan bir mesajda, Nijerya'dan bir kullanıcı EasyCash'i "kurbanlarına yüksek ve fahiş faiz oranlarıyla hileli bir şekilde kredi vermek ve borçlunun adresine ve banka kimlik numarası (BVN) dahil olmak üzere tam devlet adına sahip olduklarında şantaj, hakaret ve karakter suikastı tehditlerini kullanarak zorla ödemelerini sağlamak" için çağırdı. Ama yine de insanları utandırmaya devam ediyorlar, onları gereksiz baskı ve panik altına alıyorlar."

Ayrıca uygulamalar, kullanıcıların medya dosyaları, kamera, takvim, kişiler, arama kayıtları ve SMS mesajları için neden izinlere ihtiyaç duyduklarını açıklamak için yanıltıcı gizlilik politikaları kullanır. Uygulamalardan bazıları, operasyonlarına bir meşruiyet perdesi vermek amacıyla çalıntı ofis ortamı fotoğrafları ve stok görüntülerle dolu sahte web sitelerine bir bağlantı da içerir.

Bu tür casus yazılım tehditlerinin oluşturduğu riskleri azaltmak için, uygulamaları indirmek için resmi kaynaklara bağlı kalmanız, bu tür tekliflerin gerçekliğini doğrulamanız ve kurulumdan önce incelemelere ve izinlere çok dikkat etmeniz önerilir.

Štefanko, SpyLoan'ın "borçluların çevrimiçi finansal hizmetler ararken karşılaştıkları risklerin önemli bir hatırlatıcısı" olarak hizmet ettiğini söyledi. "Bu kötü amaçlı uygulamalar, çok çeşitli kişisel bilgileri aldatmak ve çalmak için karmaşık teknikler kullanarak, kullanıcıların meşru kredi sağlayıcılarına duyduğu güveni istismar ediyor."

Geliştirme ayrıca, ücretsiz bir hareketli akış uygulaması gibi görünen ve ekran içeriğini çalma, çalışma zamanı modüllerini indirme ve hedeflenen uygulamalardan kimlik bilgilerini çıkarmak için bindirme enjeksiyonu gibi yükseltilmiş yeteneklerle donatılmış olarak gelen TrickMo adlı bir Android bankacılık truva atının yeniden canlanmasını takip ediyor.

Cyble geçen hafta yaptığı bir analizde, "Kötü amaçlı yazılımın bindirme saldırılarına geçişi, kod gizleme için JsonPacker kullanımı ve komuta ve kontrol sunucusuyla tutarlı davranışı, tehdit aktörünün stratejilerini iyileştirmeye olan bağlılığını vurguluyor" dedi.