Genel olarak SpyLoan olarak adlandırılan bir düzineden fazla kötü niyetli kredi uygulaması bu yıl Google Play’den 12 milyondan fazla kez indirildi. Üstelik bu zararlı uygulamaların üçüncü taraf mağazalarda ve şüpheli web sitelerinde de mevcut oldukları düşünülürse muhtemel indirme sayıları çok daha fazla gibi görünüyor.
SpyLoan Android tehditleri olarak nitelenen kötü niyetli kredi uygulamaları cihazdan tüm hesapların bir listesini, cihaz bilgilerini, arama kayıtlarını, yüklü uygulamaları, takvim etkinliklerini, yerel Wi-Fi ağ ayrıntılarını ve resimlerden meta verileri içeren kişisel verileri çalıyor. Araştırmacılar, riskin kişi listesi, konum verileri ve kısa mesajlara da uzandığını söylüyor.
Bu uygulamalar “Fonlara hızlı ve kolay erişim” vaat eden bireysel krediler için yasal finansal hizmet sunucuları gibi davranıyorlar. Ancak kullanıcıları yüksek faizli ödemeleri kabul etmeleri için kandırıyorlar ve ardından tehdit aktörü kurbanlara parayı ödemeleri için şantaj yapıyor. Google Play’deki kötü amaçlı yazılımları tespit etmeye ve ortadan kaldırmaya adanmış App Defense Alliance’ın bir üyesi olan siber güvenlik şirketi ESET, yılın başından bu yana 18 SpyLoan uygulaması keşfetti. Google, ESET’in raporuna dayanarak kötü amaçlı uygulamalardan 17’sini kaldırırken, bunlardan biri artık farklı izinler ve işlevlerle sunuluyor ve artık bir SpyLoan tehdidi olarak algılanmıyor.
SpyLoan sahte kredi uygulamalarının yükselişi
Siber güvenlik firmaları ESET, Lookout, Zimperium ve Kaspersky’ye göre SpyLoan uygulamaları ilk olarak 2020’de görüldü ancak geçen yıldan itibaren hem Android hem de iOS sistemlerinde daha yaygın hale geldi. ESET, mevcut dağıtım kanallarının sahte web sitelerini, üçüncü taraf uygulama mağazalarındaki yazılımları ve Google Play’i içerdiğini söylüyor.
ESET’in verilerine göre, SpyLoan tespiti 2023 yılı boyunca arttı ve tehdit Meksika, Hindistan, Tayland, Endonezya, Nijerya, Filipinler, Mısır, Vietnam, Singapur, Kenya, Kolombiya ve Peru’da daha belirgin hale geldi. Google Play’e sızmak için bu uygulamalar sözde uyumlu gizlilik politikaları ile sunulmakta, gerekli müşterini tanı (KYC) standartlarını takip etmekte ve şeffaf izin taleplerine sahip olmaktadır. Çoğu durumda, sahte uygulamalar meşru şirket sitelerinin bariz kopyaları olan web sitelerine bağlantı vermekte, hatta sahte bir özgünlük hissi yaratmak için çalışan ve ofis fotoğrafları göstermektedir.
Çok yönlü tehdit aktörü
SpyLoan uygulamaları, kişisel kredilerin vadesini tek taraflı olarak birkaç güne veya başka herhangi bir keyfi süreye kısaltarak ve kullanıcıyı buna uymaması halinde teşhirle tehdit ederek Google’ın Finansal Hizmetler politikasını ihlal etmektedir. Ayrıca, gizlilik politikalarında belirtilenler aldatıcıdır ve riskli izinler almak için görünüşte meşru nedenler sunar.
Örneğin, KYC için fotoğraf veri yüklemelerine ve ödeme tarihlerini ve hatırlatıcıları planlamak için kullanıcının takvimine erişime izin vermek için kamera iznine ihtiyaç duyulduğu varsayılıyor, ancak bunlar son derece müdahaleci uygulamalar.
Dahası, SpyLoan uygulamaları, arama kayıtlarına ve kişi listelerine erişim gibi hiç gerekmemesi gereken izinler talep etmekte ve bu izinleri, saçma ödeme taleplerine direnen kullanıcılardan zorla para almak için kullanmaktadır. ESET, “Bu SpyLoan uygulamaları teknik olarak bir gizlilik politikasına sahip olma gerekliliklerine uysa da, uygulamaları açıkça finansal hizmetler sağlamak ve KYC bankacılık standartlarına uymak için gerekli veri toplama kapsamının ötesine geçiyor,” diye açıklıyor.
SpyLoan tehdidine karşı korunmak için yalnızca köklü finans kurumlarına güvenin, yeni bir uygulama yüklerken istenen izinleri dikkatlice gözden geçirin ve Google Play’de genellikle uygulamanın hileli doğası hakkında ipuçları içeren kullanıcı yorumlarını okuyun.