В Google Play было обнаружено вредоносное приложение SpyLend, замаскированное под финансовый калькулятор, но использовавшееся для хищения данных и средств пользователей. По данным специалистов CYFIRMA, приложение было загружено более 100 тысяч раз и действовало в рамках схемы «SpyLoan», распространённой среди мошенников, специализирующихся на хищении данных и шантаже, пишет Securitylab.
Мошенническое приложение под названием «Finance Simplified», которое уже было удалено из Google Play, было устроено весьма интересным образом: для любых пользователей, местоположение которых не в Индии, оно выглядело как финансовый калькулятор, предлагающий рассчитать ежемесячные платежи по кредиту, налоговые сборы и прочие финансовые показатели. Однако для пользователей из Индии оно предлагало десятки предложений, связанных с микрозаймами.
Основная угроза SpyLend заключалась в объёме собираемой информации. После установки на смартфон приложение требовало обширные разрешения, получая доступ к контактам, звонкам, SMS, фотографиям, истории местоположений, IP-адресам, содержимому буфера обмена, банковским SMS и данных о кредитах. В дальнейшем все эти сведения использовались для шантажа жертв, финансового мошенничества или перепродажи киберпреступникам.
В ходе анализа исследователями CYFIRMA были выявлены и другие вредоносные APK-файлы из той же мошеннической кампании, включая KreditApple, PokketMe и StashFur. Хотя все эти приложения уже были удалены из Google Play, на заражённых устройствах они могут продолжать свою работу в фоновом режиме вплоть до ручного удаления пользователями.
Исследователи установили, что злоумышленники использовали механизм WebView для обхода систем проверки Google Play: скачиваемое приложение само по себе не содержало вредоносный код — оно открывало встроенный браузер, перенаправляющий пользователей на сторонний веб-ресурс, откуда и скачивался APK-файл с вредоносным содержимым.