Популярное приложение для Android, обещающее финансовую помощь, на самом деле является опасным вредоносным ПО

Исследователи обнаружили приложение с мошенническими займами, которое маскировалось под финансовое управление. Android-приложение, вероятно, было направлено исключительно на пользователей из Индии и было удалено с Google Play Store.

Кибербезопасные исследователи обнаружили приложение SpyLoan в Google Play, которое целенаправленно атаковало потребителей из Индии. У этого приложения было около 100 000 загрузок до того, как оно было удалено из магазина приложений. Приложения для мошеннических займов действуют просто: они рекламируются как быстрые и простые кредитные услуги с минимальными требованиями к документам. Однако после установки приложение требует чрезмерных разрешений, предоставляя доступ к сообщениям, журналу звонков, контактам, фотографиям и другим данным пользователей.

После получения займа приложение начинает требовать завышенные проценты по кредиту, мучить жертву угрозами и угрожать распространением конфиденциальных фото (иногда даже поддельных, отредактированных изображений).

Обход защитных механизмов с помощью WebView

Исследователи кибербезопасности из CYFIRMA обнаружили приложение Finance Simplified, которое якобы было загружено 100 000 раз на Google Play до того, как оно было удалено. Это приложение притворялось финансовым менеджером и работало в целом так, как ожидалось, во всем мире, но велось по-другому для пользователей из Индии.

Перед тем как приложение было удалено, BleepingComputer смогло прочитать некоторые отзывы. В одном из них говорилось: "Очень очень плохое приложение, они дают небольшие займы и шантажируют выплатой больших сумм или же распространением отредактированных фотографий в виде обнаженных снимков".

CYFIRMA также заявили, что приложение было представлено как зарегистрированная нефинансовая компания, что было ложью.

Google обычно довольно хорошо выявляет вредоносное ПО в своем каталоге, что подводит к вопросу: как Finance Simplified прошло проверку? Оказалось, оно загружало WebView для перенаправления пользователей на внешний сайт, откуда они скачивали APK-файл кредитного приложения, размещенного на сервере Amazon EC2.

"Приложение Finance Simplified явно целевое для пользователей из Индии: оно показывает и рекомендует кредитные предложения, загружая WebView, который перенаправляет пользователя на внешний сайт с отдельным APK-файлом кредитного приложения", — сообщили в CYFIRMA.

После выхода новости представитель Google заявил, что приложение было удалено из Google Play и добавил, что пользователи Android автоматически защищены известными версиями этого вредоносного ПО с помощью Google Play Protect. "Google Play Protect предупреждает или блокирует приложения, которые проявляют злонамеренное поведение, даже если они загружены из источников вне Play", — сообщил представитель BleepingComputer.