Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Cảnh báo: Mã độc giả mạo ứng dụng tài chính trên Google Play

Updated
5 min read
Cảnh báo: Mã độc giả mạo ứng dụng tài chính trên Google Play
N
Nguyễn Văn Trung
Part of seriesNewsletters

Ứng dụng độc hại SpyLend trên Android đã được tải xuống hơn 100.000 lần từ Google Play. Ban đầu, ứng dụng này giả mạo dưới dạng một công cụ tài chính, nhưng thực chất lại là một nền tảng cho vay nặng lãi, nhắm đến những người có nhu cầu vay tiền.

Thông tin chi tiết

Ứng dụng này thuộc nhóm phần mềm độc hại trên Android có tên "SpyLoan", chuyên giả mạo các công cụ tài chính hoặc dịch vụ cho vay hợp pháp, nhưng thực tế lại đánh cắp dữ liệu trên thiết bị để phục vụ cho hoạt động cho vay lừa đảo.

Các ứng dụng này thu hút người dùng bằng lời hứa về các khoản vay nhanh chóng, dễ dàng, ít yêu cầu giấy tờ và có điều khoản hấp dẫn. Tuy nhiên, khi được cài đặt, chúng yêu cầu quyền truy cập quá mức, cho phép đánh cắp danh bạ, nhật ký cuộc gọi, tin nhắn SMS, ảnh, vị trí thiết bị và nhiều thông tin cá nhân khác.

Dữ liệu thu thập được sau đó bị lợi dụng để quấy rối, tống tiền và đe dọa người dùng, đặc biệt nếu họ không thể trả nợ theo điều khoản mà ứng dụng đặt ra.

Ứng dụng bị phát hiện

Công ty an ninh mạng CYFIRMA đã phát hiện một ứng dụng có tên "Finance Simplified", tự nhận là một công cụ quản lý tài chính, nhưng thực chất là một ứng dụng gián điệp và đã thu hút 100.000 lượt tải trên Google Play.

Theo CYFIRMA, ứng dụng này có hành vi đánh cắp dữ liệu người dùng để phục vụ cho hoạt động cho vay lừa đảo. Các nhà nghiên cứu cũng phát hiện thêm các biến thể khác của phần mềm độc hại này, bao gồm KreditApple, PokketMe và StashFur.

Mặc dù ứng dụng đã bị gỡ bỏ khỏi Google Play, nhưng nó vẫn có thể tiếp tục chạy ngầm trên thiết bị bị nhiễm và thu thập thông tin nhạy cảm.

Hình thức lừa đảo và tống tiền

Nhiều đánh giá từ người dùng trên Google Play đã tố cáo ứng dụng này là một dịch vụ cho vay bất hợp pháp, sử dụng hình thức tống tiền để ép buộc người vay phải trả lãi suất cao.

Một người dùng cho biết:
"Ứng dụng này rất tệ, cho vay số tiền nhỏ nhưng lại đe dọa chỉnh sửa ảnh của tôi thành nội dung khiêu dâm để tống tiền nếu tôi không trả lãi cao."

Ngoài ra, các ứng dụng này còn tự nhận là công ty tài chính hợp pháp (NBFC - Non-Banking Financial Companies), nhưng theo CYFIRMA, đây là thông tin sai sự thật.

Thủ thuật lẩn tránh kiểm duyệt của Google

Để tránh bị Google Play phát hiện, Finance Simplified sử dụng WebView để chuyển hướng người dùng đến một trang web bên ngoài, nơi họ sẽ tải xuống một file APK chứa phần mềm gián điệp, được lưu trữ trên máy chủ Amazon EC2.

Theo CYFIRMA:

  • Ứng dụng này chỉ hiển thị giao diện lừa đảo với người dùng ở Ấn Độ, chứng tỏ nó có mục tiêu nhắm đến một khu vực cụ thể.

  • Nếu thiết bị có vị trí tại Ấn Độ, ứng dụng sẽ hiển thị dịch vụ cho vay giả mạo.

  • Nếu ở nơi khác, giao diện sẽ không có dấu hiệu độc hại.

Mối lo ngại lớn nhất của SpyLend là khả năng thu thập dữ liệu cá nhân nhạy cảm của người dùng, bao gồm:
🚨 Danh bạ, nhật ký cuộc gọi, tin nhắn SMS, thông tin thiết bị.
🚨 Ảnh, video, tài liệu từ bộ nhớ trong và ngoài.
🚨 Theo dõi vị trí theo thời gian thực (cập nhật mỗi 3 giây), lịch sử vị trí, địa chỉ IP.
🚨 Lịch sử sao chép văn bản (clipboard).
🚨 Lịch sử vay nợ và tin nhắn giao dịch ngân hàng.

Dữ liệu này chủ yếu được sử dụng để tống tiền các nạn nhân đã vay tiền, nhưng cũng có thể bị lợi dụng cho gian lận tài chính hoặc bán cho tội phạm mạng.

Overview of SpyLend's operation

Phản hồi từ Google

Ngày 25/02, Google đã đưa ra tuyên bố:
"Ứng dụng đã bị gỡ bỏ khỏi Google Play. Người dùng Android được bảo vệ tự động khỏi các phiên bản phần mềm độc hại đã biết thông qua Google Play Protect. Google Play Protect có thể cảnh báo hoặc chặn các ứng dụng có dấu hiệu độc hại, ngay cả khi chúng được tải từ nguồn bên ngoài."

Khuyến nghị

Phía FPT Threat Intelligent đưa ra một số khuyến nghị dưới đây:

  • Nếu nghi ngờ thiết bị đã bị nhiễm phần mềm độc hại này, hãy gỡ cài đặt ứng dụng ngay lập tức, đặt lại quyền truy cập, đổi mật khẩu tài khoản ngân hàng và quét thiết bị bằng các công cụ bảo mật.

  • Luôn bật tính năng Google Play Protect có thể phát hiện và chặn các ứng dụng độc hại.

  • Xem xét kỹ các quyền mà ứng dụng yêu cầu khi cài đặt. Hạn chế các quyền không cần thiết (ví dụ: một ứng dụng tài chính không nên yêu cầu quyền truy cập danh bạ, ảnh, tin nhắn). Thu hồi quyền truy cập cho các ứng dụng không còn sử dụng.

  • Sao lưu dữ liệu định kỳ lên Google Drive, iCloud hoặc ổ cứng ngoài. Mã hóa dữ liệu quan trọng để tránh bị đánh cắp.

Tham khảo

  1. SPYLEND: The Android App Available on Google Play Store: Enabling Financial Cyber Crime & Extortion- https://www.cyfirma.com/research/spylend-the-android-app-available-on-google-play-store-enabling-financial-cyber-crime-extortion/

  2. SpyLend Android malware downloaded 100,000 times from Google Play- https://www.bleepingcomputer.com/news/security/spylend-android-malware-downloaded-100-000-times-from-google-play/

#spylend#chplay#google-play#trojan#android

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.