Estas aplicaciones atraen a los usuarios con promesas de préstamos rápidos, con poca documentación requerida y términos atractivos. Sin embargo, tras la instalación, solicitan permisos excesivos que permiten la sustracción de datos personales, como contactos, registros de llamadas, mensajes SMS, fotos y la ubicación del dispositivo. Esta información es luego utilizada para acosar y extorsionar a los usuarios, especialmente si no pueden cumplir con los términos de pago, lo que puede incluir chantajes y amenazas.
La firma de ciberseguridad Cyfirma ha identificado otra aplicación conocida como «Finance Simplified», con 100,000 descargas en Google Play, que se comporta de manera similar en países como India, robando datos con el fin de facilitar préstamos depredadores. Además, los investigadores han encontrado otros APK maliciosos que parecen ser variantes de esta campaña, llamados Kreditapple, Pokketme y Stashfur. Aunque Google ha eliminado estas aplicaciones de su tienda, pueden continuar funcionando en segundo plano, recolectando información confidencial de los dispositivos afectados.
Los comentarios de las reseñas de «Finance Simplified» en Google Play indican que la aplicación extorsiona a los prestatarios al ofrecer montos reducidos de préstamos y solicitar pagos exorbitantes. Los usuarios han denunciado que la aplicación se presenta falsamente como una compañía de finanzas no bancaria registrada. Para evitar su detección en Google Play, «Finance Simplified» redirige a los usuarios a un sitio web externo utilizando una WebView, desde donde pueden descargar archivos APK alojados en servidores de Amazon EC2. Sorprendentemente, esta aplicación parece estar dirigida específicamente a usuarios en India, ya que solo carga contenido engañoso si detecta que el usuario se encuentra en ese país.
Uno de los aspectos más preocupantes del malware es su capacidad de recopilar datos, abarcando información personal crítica almacenada en los dispositivos. Los datos robados incluyen contactos, registros de llamadas, SMS y detalles del dispositivo, así como fotos, videos, documentos almacenados y un seguimiento en tiempo real de la ubicación del usuario, actualizándose cada tres segundos. También recopila las últimas 20 entradas de texto copiadas en el portapapeles y el historial de préstamos, junto con mensajes de transacción bancaria. Esta información se utiliza mayormente para extorsionar a las víctimas que solicitan préstamos, pero también puede facilitar fraudes financieros o ser revendida a otros cibercriminales con fines maliciosos.
Cybirma ha proporcionado una visión general de la operación de Spylend y sus aplicaciones asociadas, advirtiendo a los usuarios de Android que si sospechan que sus dispositivos han sido infectados por estas o aplicaciones similares, deben desinstalarlas de inmediato, restablecer permisos, cambiar contraseñas de cuentas bancarias y realizar escaneos de seguridad en sus dispositivos. Se recomienda que los usuarios mantengan activa la herramienta Play Protect de Google para detectar y bloquear aplicaciones de malware conocidas y proteger así su información personal y financiera. La creciente amenaza de malware en aplicaciones aparentemente legítimas resalta la importancia de la cautela al descargar software de fuentes no verificadas y de mantenerse alerta ante ofertas que parecen demasiado buenas para ser verdad.
Enlace de la fuente, haz clic para tener más información