Jutaan Pengguna Android Terinfeksi Aplikasi SpyLoan Dari Google Play

Metapasar - Lebih dari selusin aplikasi Android berbahaya yang teridentifikasi di Google Play Store, dengan total unduhan lebih dari 8 juta kali, mengandung malware yang dikenal sebagai SpyLoan, menurut temuan terbaru dari McAfee Labs.

"Aplikasi PUP (program yang mungkin tidak diinginkan) ini menggunakan taktik rekayasa sosial untuk menipu pengguna agar memberikan informasi sensitif dan memberikan izin tambahan pada aplikasi, yang dapat menyebabkan pemerasan, pelecehan, dan kerugian finansial," kata peneliti keamanan Fernando Ruiz dalam analisis yang diterbitkan minggu lalu.

Aplikasi-aplikasi yang baru ditemukan ini mengklaim menawarkan pinjaman cepat dengan persyaratan minimal untuk menarik pengguna yang tidak waspada di negara-negara seperti Meksiko, Kolombia, Senegal, Thailand, Indonesia, Vietnam, Tanzania, Peru, dan Chili.

Sebanyak 15 aplikasi pinjaman predator telah diidentifikasi. Lima di antaranya, yang masih tersedia untuk diunduh di toko aplikasi resmi, dilaporkan telah melakukan perubahan untuk mematuhi kebijakan Google Play:

• Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)  
• Préstamo Rápido-Credit Easy (com.voscp.rapido)  
• ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)  
• RupiahKilat-Dana cair (com.rupiahkilat.best)  
• ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)  
• เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)  
• KreditKu-Uang Online (com.kreditku.kuindo)  
• Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)  
• Cash Loan-Vay tiền (com.vay.cashloan.cash)  
• RapidFinance (com.restrict.bright.cowboy)  
• PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)  
• Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)  
• IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)  
• ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)  
• ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)  

Beberapa aplikasi ini dipromosikan melalui media sosial seperti Facebook, menunjukkan berbagai metode yang digunakan pelaku ancaman untuk menipu korban agar menginstalnya.

SpyLoan adalah pelaku yang telah berulang kali muncul sejak 2020, dengan laporan dari ESET pada Desember 2023 yang mengungkapkan 18 aplikasi lain yang berusaha menipu pengguna dengan menawarkan pinjaman berbunga tinggi, sambil diam-diam mengumpulkan informasi pribadi dan finansial mereka.

Tujuan utama dari skema ini adalah mengumpulkan sebanyak mungkin informasi dari perangkat yang terinfeksi. Informasi ini kemudian digunakan untuk memeras pengguna dengan memaksa mereka membayar pinjaman dengan bunga lebih tinggi, atau dalam beberapa kasus, mengintimidasi mereka dengan foto pribadi yang dicuri.

"Alih-alih memberikan bantuan finansial yang sebenarnya, aplikasi ini justru menjerat pengguna dalam lingkaran utang dan pelanggaran privasi," kata Ruiz.

Meski targetnya berbeda-beda, aplikasi-aplikasi ini menggunakan kerangka kerja yang sama untuk mengenkripsi dan mengirimkan data dari perangkat korban ke server perintah dan kendali (C2). Proses pengajuan pinjaman juga memiliki pola yang serupa, mulai dari pengalaman pengguna hingga onboarding.

Selain itu, aplikasi-aplikasi ini meminta izin yang intrusif, seperti akses ke informasi sistem, kamera, log panggilan, daftar kontak, lokasi kasar, dan pesan SMS. Pengumpulan data ini dijustifikasi dengan klaim bahwa itu diperlukan untuk identifikasi pengguna dan langkah-langkah anti-penipuan.

Pengguna yang mendaftar ke layanan ini diverifikasi melalui kata sandi sekali pakai (OTP) untuk memastikan mereka memiliki nomor telepon dari wilayah target. Mereka juga diminta memberikan dokumen identifikasi tambahan, rekening bank, dan informasi pekerjaan, yang semuanya dikirimkan ke server C2 dalam format terenkripsi menggunakan AES-128.

Untuk mengurangi risiko dari aplikasi semacam ini, sangat penting untuk memeriksa izin aplikasi, meneliti ulasan pengguna, dan memastikan legitimasi pengembang aplikasi sebelum mengunduhnya.

"Ancaman aplikasi Android seperti SpyLoan adalah masalah global yang mengeksploitasi kepercayaan dan keputusasaan finansial pengguna," kata Ruiz. "Meskipun ada tindakan penegakan hukum untuk menangkap beberapa kelompok yang terkait dengan operasi aplikasi SpyLoan, operator baru dan penjahat siber terus mengeksploitasi aktivitas penipuan ini."

"Aplikasi SpyLoan beroperasi dengan kode yang serupa di tingkat aplikasi dan C2 di berbagai benua. Hal ini menunjukkan adanya pengembang bersama atau kerangka kerja yang dijual kepada penjahat siber. Pendekatan modular ini memungkinkan pengembang mendistribusikan aplikasi berbahaya dengan cepat, menyesuaikan dengan berbagai pasar sambil mempertahankan model yang konsisten untuk menipu pengguna."