Conheça o SpyLoan, um malware Android que rouba dados pessoais que estão no dispositivo. Confira os detalhes dessa ameaça.
Mais de uma dúzia de aplicativos de empréstimo maliciosos, genericamente chamados de SpyLoan, foram baixados mais de 12 milhões de vezes este ano no Google Play, mas a contagem é muito maior, pois também estão disponíveis em lojas de terceiros e sites suspeitos.
SpyLoan, um malware Android que rouba dados pessoais
As ameaças SpyLoan Android roubam dados pessoais do dispositivo, que incluem uma lista de todas as contas, informações do dispositivo, registros de chamadas, aplicativos instalados, eventos de calendário, detalhes da rede Wi-Fi local e metadados de imagens.
Os pesquisadores dizem que o risco também se estende à lista de contatos, dados de localização e mensagens de texto.
Eles se apresentam como serviços financeiros legítimos para empréstimos pessoais que prometem “acesso rápido e fácil a fundos”.
No entanto, eles enganam os usuários para que aceitem pagamentos com juros altos e, em seguida, o agente da ameaça chantageia as vítimas para que paguem o dinheiro.
Desde o início do ano, a empresa de segurança cibernética ESET, membro da App Defense Alliance dedicada a detectar e erradicar malware do Google Play, descobriu 18 aplicativos SpyLoan.
O Google reagiu aos relatórios da ESET e removeu 17 aplicativos maliciosos, enquanto um deles agora está disponível com um conjunto diferente de permissões e funcionalidades e não é mais detectado como uma ameaça SpyLoan.
Os aplicativos SpyLoan foram vistos pela primeira vez em 2020, mas a partir do ano passado eles se tornaram mais predominantes nos sistemas Android e iOS, de acordo com ESET, Lookout, Zimperium e Kaspersky.
A ESET afirma que os canais de distribuição atuais incluem sites fraudulentos, software em lojas de aplicativos de terceiros e Google Play.
Com base nos dados da ESET, a detecção de SpyLoan aumentou ao longo de 2023, sendo a ameaça mais proeminente no México, Índia, Tailândia, Indonésia, Nigéria, Filipinas, Egipto, Vietname, Singapura, Quénia, Colômbia e Peru.
Para se infiltrar no Google Play, esses aplicativos são enviados com políticas de privacidade compatíveis, seguem os padrões exigidos de conhecer seu cliente (KYC) e têm solicitações de permissão transparentes.
Em muitos casos, os aplicativos fraudulentos vinculam-se a sites que são imitações flagrantes de sites legítimos de empresas, mostrando até mesmo fotos de funcionários e do escritório para criar uma falsa sensação de autenticidade.
Os aplicativos SpyLoan violam a política de serviços financeiros do Google ao reduzir unilateralmente o prazo dos empréstimos pessoais para alguns dias ou qualquer outro período arbitrário e ameaçar o usuário com ridículo e exposição se não cumprir.
Além disso, o que é mencionado nas políticas de privacidade é enganoso, apresentando razões aparentemente legítimas para obter permissões arriscadas.
Por exemplo, a permissão da câmera é supostamente necessária para permitir uploads de dados de fotos para KYC e acesso ao calendário do usuário para agendar datas de pagamento e lembretes, mas essas são práticas extremamente intrusivas.
Além disso, os aplicativos SpyLoan solicitam permissões que não deveriam ser necessárias, como acesso a registros de chamadas e listas de contatos, que eles usam para extorquir usuários quando eles resistem a exigências absurdas de pagamento.
“Embora esses aplicativos SpyLoan cumpram tecnicamente os requisitos de ter uma política de privacidade, suas práticas vão claramente além do escopo da coleta de dados necessária para fornecer serviços financeiros e cumprir os padrões bancários KYC”, explica a ESET.
“Acreditamos que o verdadeiro propósito dessas permissões é espionar os usuários desses aplicativos e assediá-los e chantageá-los e a seus contatos”, acrescentam os pesquisadores.
Para se defender contra a ameaça SpyLoan, confie apenas em instituições financeiras estabelecidas, analise cuidadosamente as permissões solicitadas ao instalar um novo aplicativo e leia as avaliações dos usuários no Google Play, que geralmente contêm pistas sobre a natureza fraudulenta do aplicativo.