Il 30 novembre 2024, McAfee ha rivelato la scoperta di 15 app SpyLoan, un malware Android, che sono state installate oltre 8 milioni di volte su Google Play. Queste app, promesse come strumenti finanziari per ottenere prestiti rapidamente, sono state identificate come una minaccia globale che sfrutta l’ingegneria sociale per truffare gli utenti e raccogliere dati sensibili.
Modus Operandi di SpyLoan
Le app SpyLoan sono state progettate per sembrare strumenti finanziari affidabili che offrono prestiti con un processo di approvazione veloce. Tuttavia, una volta installate, richiedono ai utenti di fornire documenti di identificazione sensibili, informazioni sul lavoro e dati bancari. Queste richieste sono giustificate come parte del processo di identificazione e di misure anti-frode, ma in realtà servono a raccogliere dati personali e finanziari per estorsione e intimidazione.
Raccolta di Dati Sensibili
Le app SpyLoan utilizzano le loro autorizzazioni per raccogliere dati sensibili dal dispositivo dell’utente, inclusi:
- Contatti: Elenco dei contatti dell’utente.
- SMS: Tutti i messaggi SMS.
- Camera: Accesso alla camera del dispositivo.
- Call Log: Registro delle chiamate.
- Posizione: Localizzazione GPS e rete.
- Informazioni del dispositivo: Dettagli del sistema operativo e sensori del dispositivo.
Questi dati vengono esfiltrati verso un server di controllo (C2) utilizzando AES-128 per l’encryption e base64 per l’encoding. L’encryption key e l’initialization vector (IV) sono hardcoded nell’applicazione.
Impatto sulla Sicurezza degli Utenti
Le app SpyLoan operano con un codice simile a livello di app e C2 su diverse continenti, suggerendo la presenza di un comune sviluppatore o un framework condiviso venduto a cybercriminali. Questo approccio modulare consente ai sviluppatori di distribuire rapidamente app maliziose adattate a diversi mercati, sfruttando vulnerabilità locali e mantenendo un modello coerente per truffare gli utenti.
Consigli per la Protezione
Per proteggersi da questo tipo di minaccia, è importante:
- Leggere le recensioni degli utenti: Verificare se altre persone hanno avuto problemi simili con l’app.
- Controllare la reputazione del sviluppatore: Assicurarsi che il sviluppatore abbia una buona reputazione e non sia stato coinvolto in attività simili in passato.
- Limitare le autorizzazioni: Non concedere più autorizzazioni di quelle necessarie per l’applicazione.
- Attivare Google Play Protect: Assicurarsi che il servizio di protezione di Google Play sia attivo sul dispositivo.
La scoperta delle app SpyLoan sull’Android è un chiaro esempio della persistenza delle minacce informatiche che sfruttano l’ingegneria sociale. Nonostante le azioni di legge per fermare gli operatori di SpyLoan, nuovi operatori e cybercriminali continuano a sfruttare queste attività fraudolente, soprattutto in Sud America, Sud-est asiatico e Africa. È essenziale essere cauti quando si scaricano app finanziarie e verificare sempre la legittimità dell’app prima di installarla.
