بدافزار اندرویدی SpyLend، بیش از 100هزار بار از فروشگاه گوگل پلی دانلود شده است

افزایش استفاده از اپلیکیشن‌های موبایل، زمینه‌ای سودآور برای مجرمان سایبری ایجاد کرده و به آن‌ها امکان می‌دهد تا با استفاده از روش‌های پیچیده، کاربران ناآگاه را هدف قرار دهند. SpyLend نمونه‌ای جدید از این تهدیدات است. این بدافزار مخرب اندرویدی که در قالب اپلیکیشن “Finance Simplified” (بسته com.someca.count) توزیع می‌شود، به‌طور غیرقانونی به‌عنوان درگاهی برای اپلیکیشن‌های وام‌دهی عمل می‌کند که کاربران هندی را هدف قرار می‌دهد.

ماجرا از این قرار است که یک اپلیکیشن اندرویدی به نام Finance Simplifiedدر گوگل پلی(Google Play)، حاوی بدافزاری به نام SpyLend شناسایی شده که تا کنون بیش از 100 هزار بار دانلود شده است. این اپلیکیشن به ظاهر یک ابزار مالی برای ارائه وام های با شرایط سنگین در هند می‌باشد اما در حقیقت برای سرقت داده‌ها از دستگاه‌ها و استفاده از آنها در وام دهی با شرایط غیرمنصفانه و اخاذی و باج گیری از کاربران طراحی شده است.

این اپلیکیشن با استفاده از هدف‌گیری مبتنی بر موقعیت مکانی، فهرستی از برنامه‌های وام‌دهی غیرمجاز را نمایش می‌دهد که به‌طور کامل در WebView اجرا می‌شوند، و این امکان را برای مهاجمان فراهم می‌کند تا از نظارت فروشگاه Google Play دور بماند.

این اپلیکیشن مخرب نشان می‌دهد که مهاجمان چگونه از اعتماد کاربران به ابزارهای مالی سوءاستفاده کرده و با استفاده از روش‌های پیشرفته، از شناسایی فرار کرده و آسیب‌های جدی وارد می‌کنند. این قبیل اپلیکیشن‌ها، کاربران را با وعده وام‌های سریع و آسان با نیاز به مدارک کم و شرایط جذاب، فریب می‌دهند اما پس از نصب رو دستگاه کاربر، مجوزهای زیادی را درخواست می‌کنند که برای آنها امکان سرقت داده‌های شخصی مانند لیست مخاطبان، تماس‌ها، پیام‌های SMS، تصاویر و موقعیت مکانی دستگاه را فراهم می‌کند.

این اطلاعات ربوده شده سپس برای تهدید و اخاذی از کاربران مورد سوءاستفاده قرار می‌گیرند، به ویژه اگر آنها نتوانند شرایط بازپرداخت اپلیکیشن را رعایت کنند.

شرکت امنیت سایبری CYFIRMA، اپلیکیشن Finance Simplified را شناسایی کرده است و ادعا می‌کند که یک اپلیکیشن مدیریت مالی بوده و تاکنون 100 هزار بار از گوگل پلی دانلود شده است.

با این حال، CYFIRMAاظهار می‌کند که این اپلیکیشن درکشورهای خاصی مانند هند، عملکردهای مخرب‌تری از خود نشان داده است و اطلاعات دستگاه‌های کاربران را برای استفاده در وام دهی فریبکارانه می‌رباید. محققان همچنین نسخه‌های دیگری از این کمپین بدافزاری از جمله KreditApple، PokketMeو StashFur را شناسایی کرده‌اند.

با اینکه این اپلیکیشن اکنون از گوگل پلی حذف شده است، اما احتمال می‌رود که همچنان در پس زمینه به جمع آوری اطلاعات حساس از دستگاه‌های آلوده ادامه میدهد.

این اپلیکیشن‌ ادعا می‌کند که متعلق به شرکت‌های مالی غیر بانکی (NBFC) می‌باشد، اما به گفته CYFIRMA این ادعا صحت ندارد. همانطور که اشاره شد، اپلیکیشن Finance Simplified به منظور جلوگیری از شناسایی شدن در گوگل پلی یک WebView را بارگذاری کرده تا کاربران را به یک وب سایت خارجی هدایت کند و از آنجا یک اپلیکیشن وام APK میزبانی شده در سرور Amazon EC2 را دانلود می‌کند.

محققان دریافتند که این اپلیکیشن تنها در صورتی رابط کاربری فریبنده را بارگذاری می‌کند که موقعیت مکانی کاربر در هند باشد که این امر نشان دهنده هدف گیری خاص این کمپین است.

داده‌های حساس ربوده شده توسط اپلیکیشن

نگرانی اصلی در مورد فعالیت این بدافزار، جمع آوری داده‌هایی است که شامل اطلاعات حساس شخصی ذخیره شده در دستگاه کاربر می‌شوند.در ادامه، خلاصه‌ای از داده‌های ربوده شده توسط بدافزار، ارائه شده است:

لیست مخاطبان، لاگ‌های تماس، پیامک‌ها و اطلاعات دستگاه.
تصاویر، ویدیوها و مستندات از حافظه داخلی و خارجی.
ردیابی موقعیت آنلاین(که هر 3 ثانیه به روزرسانی می‌شود)، تاریخ موقعیت مکانی وآدرس IP.
20 متن آخری که در کلیپ بورد کپی شده‌اند.
پیام‌های SMS تراکنش بانکی و تاریخچه وام.

اگرچه این داده ها عمدتا به منظور تهدید و اخاذی از قربانیانی که به صورت اشتباهی درخواست وام کرده اند، استفاده می‌شود اما ممکن است به منظور کلاهبرداری‌های مالی یا سودآوری به مجرمان سایبری جهت کسب سود بیشتر فروخته شوند.

درصورتی که به آلوده شدن دستگاه خود به هر یک از اپلیکیشن‌های مذکور شک دارید، بلافاصله آنها را حذف کرده، مجوزها را مجددا تنظیم کنید، رمزهای عبور حساب بانکی خود را تغییر داده و دستگاه را اسکن کنید. ابزار Google Play Protect به منظور شناسایی و مسدود کردن بدافزارها و اپلیکیشن‌های مخرب طراحی شده است، بنابراین از فعال بودن آن روی دستگاه خود اطمینان حاصل نمایید.