فرناندو روئیز، محقق امنیتی، در تحلیلی که در گذشته منتشر شد، گفت: «برنامه‌های PUP (توسط کاربر و یا برنامه‌ای دیگر بر روی دستگاه قربانی نصب شده و تنظیمات سیستم را تغییر می‌دهد.) از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران برای ارائه اطلاعات حساس و اعطای مجوزهای اضافی برنامه تلفن همراه استفاده می‌کنند که می‌تواند منجر به اخاذی، آزار و اذیت و ضرر مالی شود.»

 تعداد 15 برنامه مخرب تحت عنوان وام وجود دارد که پنج مورد از این برنامه‌ها که هنوز برای دانلود از فروشگاه رسمی برنامه موجود هستند، تغییراتی را برای مطابقت با خط‌مشی‌های Google Play اعمال کرده‌اند بر اساس یافته‌های جدید، بیش از دوازده برنامه اندرویدی مخرب شناسایی شده در فروشگاه Google Play که مجموعاً بیش از 8 میلیون بار دانلود شده‌اند، حاوی بدافزاری هستند که به نام SpyLoan شناخته می‌شوند. برخی از این برنامه‌ها از طریق پست‌هایی در پلتفرم‌های رسانه‌های اجتماعی  تبلیغ شده‌اند که نشان‌دهنده روش‌های مختلفی است که مجرمین برای فریب قربانیان برای نصب آنها استفاده می‌کنند SpyLoan یک جرم پرتکرار است که به سال 2020 باز می‌گردد، با گزارشی از ESET در دسامبر 2023، مجموعه دیگری متشکل از 18 برنامه را فاش کرد که با ارائه وام‌های با نرخ بهره بالا به کاربران قصد کلاهبرداری داشتند و در عین حال مخفیانه اطلاعات شخصی و مالی آنها را نیز جمع‌آوری می‌کردند.

هدف نهایی طرح مالی جمع‌آوری هرچه بیشتر اطلاعات از دستگاه‌های آلوده است که می‌تواند برای اخاذی از کاربران با وادار کردن آنها به بازپرداخت وام با نرخ‌های بهره بالاتر و در برخی موارد برای تأخیر در پرداخت‌ها استفاده شود. رویز گفت: "در نهایت، به جای ارائه کمک‌های مالی واقعی، این برنامه‌ها می‌توانند کاربران را به چرخه‌ای از بدهی‌ها و نقض حریم خصوصی سوق دهند"

علی‌رغم تفاوت‌هایی که در هدف‌گیری وجود دارد، مشخص شده است که برنامه‌ها چارچوب مشترکی برای رمزگذاری و استخراج داده‌ها از دستگاه قربانی به سرور فرمان و کنترل دارند،  آنها همچنین یک تجربه کاربری مشابه و فرآیند ورود به سیستم را برای درخواست وام دنبال می‌کنند. علاوه بر این، برنامه‌ها برای تعدادی مجوز دسترسی درخواست می‌کنند که به آن‌ها اجازه می‌دهد اطلاعات سیستم، دوربین، گزارش تماس‌ها، لیست‌های تماس، مکان درشت و پیام‌های SMS را جمع‌آوری کنند. جمع‌آوری داده‌ها با این ادعا که به عنوان بخشی از شناسایی کاربر و اقدامات ضد تقلب مورد نیاز است، توجیه می‌شود.

کاربرانی که برای این سرویس ثبت نام می کنند از طریق یک رمز عبور یکبار مصرف (OTP) اعتبارسنجی می‌شوند تا اطمینان حاصل شود که شماره تلفنی از منطقه مورد نظر دارند. همچنین از آن‌ها خواسته می‌شود مدارک شناسایی تکمیلی، حساب‌های بانکی و اطلاعات کارمندان را ارائه کنند که همه آنها متعاقباً با استفاده از AES-128 به سرور C2 در قالب رمزگذاری‌شده استخراج می‌شوند.

برای کاهش خطرات ناشی از چنین برنامه‌هایی، بررسی مجوزهای برنامه، بررسی دقیق برنامه‌ها و تأیید اعتبار توسعه‌دهنده برنامه قبل از دانلود آنها ضروری است. رویز گفت: "تهدید برنامه‌های اندروید مانند SpyLoan یک مسئله جهانی است که از اعتماد و ناامیدی مالی کاربران سوء‌استفاده می‌کند." با وجود اقدامات مجری قانون برای دستگیری چندین گروه مرتبط با عملکرد برنامه‌های SpyLoan، اپراتورهای جدید و مجرمان سایبری همچنان از این فعالیت‌های کلاهبرداری سوء‌استفاده می‌کنند.

برنامه‌های SpyLoan با کدهای مشابه در سطح برنامه و C2 در سراسر قاره‌های مختلف کار می‌کنند این نشان دهنده وجود یک توسعه دهنده مشترک یا یک چارچوب مشترک است که به مجرمان سایبری فروخته می‌شود. این رویکرد ماژولار به این توسعه دهندگان اجازه می‌دهد تا به سرعت برنامه‌های مخرب متناسب با بازارهای مختلف را با استفاده از آسیب‌پذیری‌های محلی و در عین حال حفظ یک مدل ثابت برای کاربران کلاهبردار توزیع کنند.

منبع خبر: https://fata.gov.ir