Các ứng dụng này đã được hãng bảo mật McAfee (Mỹ), một thành viên của App Defense Alliance (liên minh với các dịch vụ bảo vệ của bên thứ ba để chấm dứt phần mềm độc hại trước khi chúng phát hành trên Google Play), phát hiện và hiện đã bị xóa khỏi cửa hàng ứng dụng chính thức của Android.

Tuy nhiên, sự hiện diện của chúng trên Google Play cho thấy sự dai dẳng của những kẻ tấn công, vì ngay cả những hành động thực thi pháp luật gần đây chống lại những người điều hành SpyLoan cũng không thể ngăn chặn được vấn đề này.

Chiến dịch rà quét phần mềm độc hại SpyLoan lớn gần đây nhất trên Google Play diễn ra vào tháng 12/2023, khi hơn chục ứng dụng với 12 triệu lượt tải xuống đã bị xóa.

Phương thức hoạt động của SpyLoan

Ứng dụng SpyLoan được quảng cáo là công cụ tài chính cung cấp cho người dùng các khoản vay thông qua quy trình phê duyệt nhanh chóng với các điều khoản lừa đảo và thường là sai sự thật.

Sau khi nạn nhân cài đặt các ứng dụng đó sẽ phải xác thực thông qua mật khẩu một lần (OTP) để đảm bảo họ đang ở trong khu vực mục tiêu. Sau đó, các nạn nhân được yêu cầu gửi các tài liệu định danh, bao gồm thông tin cá nhân và dữ liệu tài khoản ngân hàng.

Ngoài ra, các ứng dụng còn sử dụng sai quyền trên thiết bị để thu thập nhiều dữ liệu khác nhau, ví dụ như quyền truy cập vào danh sách liên lạc, tin nhắn SMS, camera, nhật ký cuộc gọi và vị trí của người dùng, nhằm mục đích tống tiền.

McAfee lưu ý rằng các chiến thuật thu thập dữ liệu của các ứng dụng này còn mở rộng đến việc đánh cắp tất cả tin nhắn SMS trên thiết bị của nạn nhân, cũng như vị trí GPS/mạng, thông tin thiết bị, chi tiết hệ điều hành và dữ liệu cảm biến.

Hình 1. Mã để trích xuất tất cả tin nhắn SMS

Khi người dùng vay tiền thông qua ứng dụng, họ sẽ phải chịu mức lãi suất cao, thường xuyên bị quấy rối và tống tiền bởi những kẻ điều hành sử dụng dữ liệu bị đánh cắp từ điện thoại của họ. Trong một số trường hợp, những kẻ lừa đảo còn gọi điện cho gia đình của người vay và làm phiền họ.

Với 8 triệu lượt tải xuống trên Google Play

Cuộc điều tra của McAfee đã xác định được 15 ứng dụng SpyLoan độc hại, đã được cài đặt hơn 8 triệu lượt chỉ thông qua Play Store. Dưới đây là danh sách tám ứng dụng phổ biến nhất:

- Préstamo Seguro-Rápido, Seguro: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Mexico.

- Préstamo Rápido-Credit Easy: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Colombia.

- ได้บาทง่ายๆ-สินเชื่อด่วน: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Senegal.

- RupiahKilat-Dana cair: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Senegal.

- ยืมอย่างมีความสุข – เงินกู้: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Thái Lan.

- เงินมีความสุข – สินเชื่อด่วน: 1.000.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Thái Lan.

- KreditKu-Uang Online: 500.000 lượt tải xuống, chủ yếu nhắm mục tiêu đến Indonesia.

- Dana Kilat-Pinjaman kecil: 500.000 lượt tải xuống, chủ yếu nhắm đến Indonesia.

Hình 2. Bốn ứng dụng SpyLoan trên Google Play

Bất chấp cơ chế đánh giá ứng dụng của Google nhằm chặn phần mềm vi phạm các điều khoản của Google Play, các ứng dụng SpyLoan vẫn tiếp tục “vượt qua” được vòng kiểm duyệt.

Để bảo vệ trước rủi ro này, người dùng cần chú ý đọc đánh giá ứng dụng, kiểm tra uy tín của nhà phát triển, hạn chế quyền được cấp cho ứng dụng khi cài đặt và đảm bảo Google Play Protect đang hoạt động trên thiết bị.