自 2023 年初以来,ESET 研究人员观察到欺骗性 Android 贷款应用程序出现惊人增长,这些应用程序将自己伪装成合法的个人贷款服务,承诺快速轻松地获得资金。
尽管这些服务的外表很吸引人,但事实上,这些服务的目的是通过向用户提供带有欺骗性描述的高息贷款来欺骗用户,同时收集受害者的个人和财务信息来敲诈他们,最终获取他们的资金。 因此,ESET 产品使用检测名称 SpyLoan 来识别这些应用程序,该名称直接指代其间谍软件功能与贷款索赔的结合。
博文要点:
- ESET 研究人员分析的应用程序向用户请求各种敏感信息,并将其泄露到攻击者的服务器。
- 然后,这些数据会被用来骚扰和勒索这些应用程序的用户,根据用户的评论,即使没有提供贷款也是如此。
- ESET 遥测显示,自 2023 年初以来,这些应用程序在非官方第三方应用商店、Google Play 和网站上出现了明显增长。
- 恶意贷款应用程序主要针对东南亚、非洲和拉丁美洲的潜在借款人。
- 所有这些服务仅通过移动应用程序运行,因为攻击者无法通过浏览器访问存储在受害者智能手机上的所有敏感用户数据。
概述
ESET 是应用程序防御联盟的成员,也是恶意软件缓解计划的积极合作伙伴,该计划旨在快速找到潜在有害的应用程序 (PHA),并在它们进入 Google Play 之前阻止它们。
本博文中描述的以及 IoC 部分中提到的所有 SpyLoan 应用程序都是通过社交媒体和 短信,并且可以从专门的诈骗网站和第三方应用商店下载。 所有这些应用程序也可以在 Google Play 上找到。 作为 Google 应用防御联盟合作伙伴,ESET 识别了 18 个 SpyLoan 应用程序并将其报告给 Google,后者随后从其平台上删除了其中 17 个应用程序。 在被删除之前,这些应用程序在 Google Play 上的下载量总计超过 12 万次。 ESET 识别的最后一个应用程序仍然可以在 Google Play 上使用,但是,由于其开发人员更改了其权限和功能,我们不再将其检测为 SpyLoan 应用程序。
值得注意的是,特定 SpyLoan 应用程序的每个实例,无论其来源如何,由于其相同的底层代码,其行为都是相同的。 简而言之,如果用户下载特定应用程序,无论他们从哪里获得该应用程序,他们都将体验相同的功能并面临相同的风险。 无论下载内容是否来自可疑网站、第三方应用商店,甚至 Google Play,应用程序的行为在所有情况下都是相同的。
这些服务均不提供使用网站请求贷款的选项,因为勒索者无法通过浏览器访问存储在智能手机上且勒索所需的所有敏感用户数据。
在这篇博文中,我们描述了 SpyLoan 应用程序的机制以及它们用来绕过 Google Play 政策并误导和欺诈用户的各种欺骗技术。 我们还分享了受害者在陷入这种骗局时可以采取的步骤,以及有关如何区分恶意和合法贷款应用程序的一些建议,以便潜在借款人可以保护自己。
受害者
根据 ESET 遥测,这些应用程序的执行者主要在墨西哥、印度尼西亚、泰国、越南、印度、巴基斯坦、哥伦比亚、秘鲁、菲律宾、埃及、肯尼亚、尼日利亚和新加坡运营(见图 2 中的地图)。 所有这些国家都有各种管理私人贷款的法律——不仅包括利率,还包括沟通透明度; 然而,我们不知道它们的执行效果如何。 我们认为,这些国家/地区以外的任何检测都与由于各种原因可以访问在这些国家/地区之一注册的电话号码的智能手机有关。
截至撰写本文时,我们尚未看到针对欧洲国家、美国或加拿大的积极活动。
技术分析
初始访问
ESET Research 将 SpyLoan 计划的起源追溯到 2020 年。当时,此类应用程序仅呈现孤立的案例,并未引起研究人员的注意; 然而,恶意贷款应用程序的数量不断增加,最终我们开始在 Google Play、Apple App Store 和专门的诈骗网站上发现它们。 图 3 和图 4 显示了一个此类示例的屏幕截图。这种多平台方法最大限度地扩大了它们的覆盖范围并增加了用户参与的机会,尽管这些应用程序后来从两个官方应用程序商店中下架。
2022 年初,ESET 联系 Google Play,向该平台通报了 20 多个恶意贷款应用程序,这些应用程序的集体下载量超过 9 万次。 在我们干预后,该公司从其平台上删除了这些应用程序。 安全公司 Lookout 发现 Google Play 上的 251 个 Android 应用程序和 Apple App Store 上的 35 个 iOS 应用程序表现出掠夺性行为。 据 Lookout 称,他们已就已识别的应用程序与谷歌和苹果进行了联系,并于 2022 年 XNUMX 月发布了一份 博文 关于这些应用程序。 在 Lookout 发表研究报告之前,谷歌已经识别并删除了大部分恶意贷款应用程序,其中两个已识别的应用程序已被开发者从 Google Play 中删除。 这些应用在 Google Play 上的下载量总计超过 15 万次; 苹果还下架了已识别的应用程序。
根据 ESET 遥测数据,SpyLoan 检测量于 2023 年 XNUMX 月再次开始上升,此后在非官方第三方应用商店、Google Play 和网站上持续增长; 我们概述了这一增长 ESET 威胁报告 1 年上半年.
在他们的 2022年安全总结,谷歌描述了该公司如何通过在多个地区推出针对个人贷款应用程序的新要求来确保 Android 和 Google Play 用户的安全。 据记录,在过去三年中,情况发生了变化,Google Play 对其个人贷款应用政策进行了多项更改(针对印度、印度尼西亚、菲律宾、尼日利亚、肯尼亚、巴基斯坦和泰国等国家/地区的特定要求),并已取消发布了许多恶意贷款应用程序。
为了引诱受害者,犯罪者通过短信以及 Twitter、Facebook 和 YouTube 等流行社交媒体渠道积极宣传这些恶意应用程序。 通过利用这一庞大的用户群,诈骗者旨在吸引需要经济援助的毫无戒心的受害者。
尽管我们分析的每个 SpyLoan 应用程序中并未采用此方案,但某些 SpyLoan 应用程序的另一个令人担忧的方面是通过滥用合法实体的名称和品牌来冒充信誉良好的贷款提供商和金融服务。 为了帮助提高潜在受害者的认识,一些合法的金融服务机构甚至在社交媒体上对 SpyLoan 应用程序发出警告,如图 5 所示。
工具箱
用户安装 SpyLoan 应用程序后,系统会提示他们接受服务条款并授予访问设备上存储的敏感数据的广泛权限。 随后,该应用程序请求用户注册,通常通过短信一次性密码验证来验证受害者的电话号码来完成。
这些注册表单会根据受害者电话号码中的国家/地区代码自动选择国家/地区代码,确保只有在目标国家/地区注册了电话号码的个人才能创建帐户,如图 6 所示。
电话号码验证成功后,用户可以访问应用程序内的贷款申请功能。 为了完成贷款申请流程,用户必须提供大量的个人信息,包括地址详细信息、联系信息、收入证明、银行账户信息,甚至上传身份证正反面的照片和自拍照,如图 7 所示。
SpyLoan 应用程序通过从毫无戒心的用户那里秘密提取大量个人信息来构成重大威胁 - 这些应用程序能够将敏感数据发送到其命令和控制 (C&C) 服务器。 通常被泄露的数据包括帐户列表、通话记录、日历事件、设备信息、已安装的应用程序列表、本地 Wi-Fi 网络信息,甚至设备上的文件信息(例如 Exif 元数据 来自图像而不实际发送照片本身)。 此外,联系人列表、位置数据和短信也容易受到攻击。 为了保护他们的活动,犯罪者在将所有被盗数据传输到 C&C 服务器之前对其进行加密。
随着 SpyLoan 应用程序的发展,它们的恶意代码变得更加复杂。 在早期版本中,恶意软件的有害功能并未被隐藏或保护; 然而,后来的版本融入了一些更先进的技术,如代码混淆、加密字符串和加密 C&C 通信,以隐藏其恶意活动。 要更详细地了解这些改进,请参阅图 8 和图 9。
在5月31上st,2023, 额外的政策 开始向 Google Play 上的贷款应用程序申请,指出禁止此类应用程序请求访问图像、视频、联系人、电话号码、位置和外部存储数据等敏感数据的权限。 看来此更新的策略并未对现有应用程序产生立即影响,因为我们报告的大多数应用程序在策略开始应用后仍然可以在平台上使用(包括其广泛的权限),如图 10 所示。但是,正如我们提到的,谷歌后来取消了这些应用程序的发布。
后果
在安装此类应用程序并收集个人数据后,该应用程序的执行者开始骚扰和勒索受害者付款,即使根据评论,用户没有申请贷款或申请但贷款未申请。 t 批准。 这样的做法在Facebook和Google Play上对这些应用程序的评论中都有描述,如图11(甚至提到死亡威胁)、图12(部分机器翻译:你所欠的债值得你安心吗?你所爱的人?……你真的想拿自己的安全冒险吗?……你愿意承担后果吗?你会遇到很多问题,避免给自己和周围的人带来不好的经历。),图13 。
除了数据收集和勒索之外,这些服务还呈现出一种现代数字高利贷形式,即对贷款收取过高的利率,利用有紧急财务需求的弱势个人或难以获得主流金融服务的借款人。机构。 一位用户对 SpyLoan 应用程序给予负面评价(如图 14 所示),并不是因为该应用程序骚扰他,而是因为他申请贷款已经四天了,但什么也没发生,他需要钱买药。
高利贷通常被认为是不道德的行为,因此在各种宗教文本中受到谴责,并受到法律监管,以保护借款人免受此类掠夺性行为的侵害。 然而,值得注意的是,如果利息设定在合理的利率并遵循法律准则,则标准贷款协议不被视为高利贷。
快速增长背后的原因
SpyLoan 应用程序快速增长背后有几个原因。 一是这些应用程序的开发人员从成功的 FinTech(金融技术)服务中汲取灵感,这些服务利用技术提供简化且用户友好的金融服务。 众所周知,金融科技应用程序和平台通过提供便利性来颠覆传统金融业,使人们能够以用户友好的方式随时随地仅使用智能手机进行各种金融活动。 相比之下,SpyLoan 应用程序唯一破坏的是对技术、金融机构和类似实体的信任。
它们增长的另一个原因在 Zimperium的分析 恶意行为者如何利用 Flutter 框架并使用它来开发恶意贷款应用程序。 扑 是一个开源软件开发工具包 (SDK),旨在构建可在 Android、iOS、Web 和 Windows 等各种平台上运行的跨平台应用程序。 自 2018 年 XNUMX 月推出以来,Flutter 在促进新移动应用程序的开发并推动其进入市场方面发挥了重要作用。
虽然只有应用程序开发人员才能确定他们是否使用 Flutter 来编程其应用程序或应用程序的一部分,但在我们向 Google 报告的 17 个应用程序中,其中 XNUMX 个包含 Flutter 特定的库或 。镖 扩展,指的是 Flutter 的 Dart 编程语言。 这表明至少有一些攻击者正在使用良性的第三方工具来促进其恶意应用程序的开发。
欺骗性沟通技巧
恶意贷款应用程序通常使用与合法贷款应用程序非常相似的措辞和设计元素。 这种故意的相似性使得典型用户很难确定应用程序的真实性,尤其是在涉及财务和法律术语时。 这些应用程序部署的欺骗性通信分为几个层次。
Google Play 官方说明
为了能够踏入 Google Play 的大门并在该平台上发布,我们分析的所有 SpyLoan 应用程序都提供了一个描述,这些描述大多不仅符合 Google Play 的要求,而且似乎还涵盖了当地的法律需要; 一些应用程序甚至声称自己是注册的非银行金融公司。 然而,这些应用程序的开发人员进行的实地交易和商业实践(如用户评论和其他报告所证明的那样)并不符合他们明确规定的标准。
一般来说,SpyLoan 应用程序公开声明请求哪些权限,声称拥有正确的许可证,并提供年利率范围(始终在当地高利贷法律或类似立法规定的法定限额内)。 年利率 (APR) 描述并包括利率和某些费用或与贷款相关的费用,例如发起费、手续费或其他财务费用。 在许多国家/地区,它都有法律上限,例如,就美国的个人贷款提供商而言,谷歌将年利率上限设定为 36%。
年度总成本(TAC;或 CAT – 西班牙语年度总成本)超出了年利率,不仅包括利率和费用,还包括其他成本,例如保险费或与贷款相关的额外费用。 因此,TAC 为借款人提供了对贷款所需的总财务承诺(包括所有相关成本)的更准确估计。 由于一些拉丁美洲国家要求贷款提供商披露 TAC,在该地区销售的 SpyLoan 应用程序揭示了其贷款的真实高成本,TAC 在 160% 到 340% 之间,如图 15 所示。
应用程序说明还包括个人贷款的期限,该期限由贷款提供商根据 Google 的规定设定 金融服务政策 不能设置为 60 天或更短。 贷款期限是指借款人预计向贷款人偿还借入资金和所有相关费用的期限。 我们分析的应用程序的使用期限设置在 91 到 360 天之间(见图 15); 然而,在 Google Play 上提供反馈的客户(见图 16)抱怨说,期限明显缩短,而且兴趣很高。 如果我们看图 16 中反馈中的第三个示例,利息(549 比索)高于实际贷款(450 比索),并且贷款连同利息(999 比索)必须在 5 天内偿还,因此违反了 Google 的贷款期限政策。
隐私政策
因为它是由 Google Play 开发者政策,并且符合 了解你的客户 (KYC) 标准,想要将其应用程序放置在 Google Play 上的开发者必须提供有效且易于访问的隐私政策。 该政策必须涵盖收集数据的类型、数据的使用方式、可能与谁共享、保护用户数据的安全措施以及用户如何行使其数据权利等方面。 这类似于要求数据使用和保护透明的 KYC 指南。 数据收集的 KYC 要求通常包括收集个人信息,例如全名、出生日期、地址、联系方式以及政府颁发的身份证号码或文件。 在金融服务领域,这可能还涉及收集有关就业状况、收入来源、信用记录以及与评估信用度相关的其他信息的数据。
尽管隐私政策是一份法律文件,但它可以通过非常简单的方式自动生成 - 有许多免费的隐私政策生成器可以在应用程序开发人员插入基本数据(例如应用程序名称、其背后的公司,以及应用程序正在收集的数据。 这意味着创建对普通人来说似乎真实的隐私政策非常简单。
与 KYC 规范形成鲜明对比的是,我们发现的 SpyLoan 应用程序在其隐私政策中使用了欺骗策略。 他们声称需要访问媒体文件的权限“以进行风险评估”,存储权限“以帮助提交文档”,访问他们声称仅与金融交易相关的短信数据“以正确识别您的身份”,访问日历“以便安排相应的付款日期和相应的提醒”、相机权限“以帮助用户上传所需的照片数据”以及通话记录权限“以确认我们的应用程序已安装在您自己的手机上”。 实际上,根据 KYC 标准,可以使用侵入性较小的数据收集方法来完成身份验证和风险评估。 正如我们之前提到的,根据这些应用程序的隐私政策,如果未向应用程序授予这些权限,则不会提供服务,因此也不会提供贷款。 事实上,这些应用程序并不需要所有这些权限,因为所有这些数据都可以通过一次性权限上传到应用程序中,该权限只能访问选定的图片和文档,而不是全部,日历请求可以通过电子邮件发送给贷款接受者,并且完全不需要访问通话记录的权限。
一些隐私政策的措辞极其矛盾。 他们一方面列出了收集个人数据的欺骗性理由,另一方面又声称没有收集敏感个人数据,如图 17 所示。这违背了 KYC 标准,该标准要求就数据收集和使用进行诚实和透明的沟通。用法,包括前面提到的特定数据类型。
我们认为这些权限的真正目的是监视这些应用程序的用户并骚扰和勒索他们及其联系人。
另一份隐私政策显示,为埃及人提供贷款的应用程序由 SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI 运营。 据埃及投资和自由区总局称,埃及没有注册此类公司; 然而,我们发现它在 数十家非法PXNUMXP借贷平台名单 印度尼西亚投资警报特别工作组于 2021 年 XNUMX 月发出警告。
总之,虽然这些 SpyLoan 应用程序在技术上符合隐私政策的要求,但它们的做法显然超出了提供金融服务和遵守 KYC 银行标准所需的数据收集范围。 根据 KYC 规定,合法的贷款应用程序只会请求必要的个人数据来验证身份和信誉,而不要求访问媒体文件或日历条目等不相关数据。 总体而言,用户了解自己的权利并谨慎对待授予任何应用程序的权限非常重要。 这包括了解 KYC 银行法规制定的标准,这些标准不仅旨在保护金融机构免受欺诈和其他非法活动的侵害,而且还保护其用户的个人数据和金融交易。
网站
其中一些应用程序拥有官方网站,有助于营造一个成熟的、以客户为中心的个人贷款提供商的假象,其中包含指向 Google Play 的链接,以及其他大多数通用和简单的信息,与开发人员在 Google Play 上提供的描述类似。 ,在应用程序被下架之前。 他们通常不会透露该应用程序背后的企业名称。 然而,我们分析的几个网站之一更进一步,包含有关空缺职位的详细信息、舒适办公环境的图片以及董事会的照片——所有这些都是从其他网站窃取的。
空缺职位是从其他公司复制过来的,只做了一些小的修改。 在复制自的一个中 因斯塔伊雷是一家位于印度的招聘平台,如图 18 所示,只有“GoodknowledgeaboutAmeyo”这一行被移动到文本中的不同位置。
图 19 中描绘的三张办公环境图像是从两家公司复制的 - 办公室和运动场照片来自 环支付一款拥有数百万客户的印度支付应用,团队照片来自 更好的印度,印度数字媒体平台。
董事会成员 对应名字 与声称支持该特定应用程序的公司相关,但网站上使用的图片(如图 20 所示)描绘了三种不同的库存照片模型,并且该网站并未声明这些图像仅供说明之用仅供参考。
虽然在谷歌上进行反向图像搜索以在桌面浏览器中查找这些图片的来源很容易,但值得注意的是,这在手机上要困难得多。 正如我们之前指出的,这些应用程序的提供商仅关注想要使用手机获得贷款的潜在借款人。
合法与恶意贷款应用程序 – 如何区分它们
正如欺骗性沟通技术部分中提到的,即使应用程序或其背后的公司声称自己是经过批准的贷款提供商,但这并不能自动保证其合法性或道德实践——它仍然可以通过使用欺骗性策略和误导性信息来欺骗潜在客户关于贷款条款。 正如所提到的 小心,向成熟机构申请贷款似乎是对潜在借款人的最佳建议,但 SpyLoan 应用程序确实很难将它们与标准金融组织区分开来,而且一些借款人无法接触传统金融实体。 因此,必须谨慎对待贷款应用程序,并采取额外措施确保其可信度,因为它们的安装可能会对借款人的财务状况产生非常负面的影响。
坚持官方来源并使用安全应用程序应该足以检测恶意贷款应用程序; 但是,用户可以采取其他步骤来保护自己:
- 坚持官方来源
Android 用户应避免安装来自非官方来源和第三方应用商店的贷款应用程序,并坚持使用 Google Play 等受信任的平台,这些平台实施应用程序审查流程和安全措施。 虽然这并不能保证完全保护,但它可以降低遇到诈骗贷款应用程序的风险。 - 使用安全应用程序
可靠的 Android 安全应用程序可保护用户免受恶意贷款应用程序和恶意软件的侵害。 安全应用程序通过扫描和识别潜在有害的应用程序、检测恶意软件并警告用户可疑活动来提供额外的保护层。 本博文中提到的恶意贷款应用程序被 ESET 产品检测为 Android/SpyLoan、Android/Spy.KreditSpy 或 Android/Spy.Agent 的变体。 - 审查审查
从 Google Play 下载应用程序时,密切关注用户评论非常重要(这些评论可能在非官方商店中不可用)。 重要的是要意识到,积极的评论可能是伪造的,甚至是从以前的受害者那里勒索的,以提高诈骗应用程序的可信度。 相反,借款人应该关注负面评论,并仔细评估用户提出的担忧,因为它们可能会泄露重要信息,例如勒索策略和贷款提供商收取的实际成本。 - 隐私政策和数据访问检查
在安装贷款应用程序之前,个人应该花时间阅读其隐私政策(如果有)。 此文档通常包含有关应用程序如何访问和存储敏感信息的有价值的信息。 然而,诈骗者可能会采用欺骗性条款或含糊的语言来诱骗用户授予不必要的权限或共享个人数据。 在安装过程中,重要的是要注意应用程序请求访问的数据,并询问请求的数据是否是贷款应用程序功能所必需的,例如联系人、消息、照片、文件和日历事件。 - 如果预防不起作用
如果个人成为数字高利贷的受害者,可以通过多种途径寻求帮助并采取行动。 受害者应向本国执法部门或相关法律当局报告该事件,联系消费者保护机构,并向管理私人贷款条款的机构发出警报; 在大多数国家,它是国家银行或同等机构。 这些机构收到的警报越多,他们采取行动的可能性就越大。 如果欺诈性贷款应用程序是通过 Google Play 获得的,个人可以向 Google Play 支持寻求帮助,他们可以报告该应用程序并要求删除与其相关的个人数据。 然而,值得注意的是,数据可能已经被提取到攻击者的 C&C 服务器。
结论
即使在多次被下架之后,SpyLoan 应用程序仍然不断进入 Google Play,并成为借款人在线寻求金融服务时面临风险的重要提醒。 这些恶意应用程序利用用户对合法贷款提供商的信任,使用复杂的技术来欺骗和窃取广泛的个人信息。
对于个人来说,谨慎行事、验证任何金融应用程序或服务的真实性并依赖可信来源至关重要。 通过保持知情和警惕,用户可以更好地保护自己,避免成为此类欺骗性计划的受害者。
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
SHA-1 |
文件名 |
检测 |
课程描述 |
136067AC519C23EF7B9E8EB788D1F5366CCC5045 |
com.aa.kredit.android.apk |
Android/SpyLoan.AN |
间谍贷款恶意软件。 |
C0A6755FF0CCA3F13E3C9980D68B77A835B15E89 |
com.amorcash.credito.prestamo.apk |
Android/SpyLoan.BE |
间谍贷款恶意软件。 |
0951252E7052AB86208B4F42EB61FC40CA8A6E29 |
com.app.lo.go.apk |
Android/Spy.Agent.CMO |
间谍贷款恶意软件。 |
B4B43FD2E15FF54F8954BAC6EA69634701A96B96 |
com.cashwow.cow.eg.apk |
Android/间谍特工EY |
间谍贷款恶意软件。 |
D5104BB07965963B1B08731E22F00A5227C82AF5 |
com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk |
Android/Spy.Agent.CLK |
间谍贷款恶意软件。 |
F79D612398C1948DDC8C757F9892EFBE3D3F585D |
com.flashloan.wsft.apk |
Android/Spy.Agent.CNB |
间谍贷款恶意软件。 |
C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC |
com.guayaba.cash.okredito.mx.tala.apk |
Android/Spy.Agent.CLK |
间谍贷款恶意软件。 |
E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534 |
com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk |
Android/SpyLoan.EZ |
间谍贷款恶意软件。 |
9C430EBA0E50BD1395BB2E0D9DDED9A789138B46 |
com.mlo.xango.apk |
Android/Spy.Agent.CNA |
间谍贷款恶意软件。 |
6DC453125C90E3FA53988288317E303038DB3AC6 |
com.mmp.optima.apk |
Android/Spy.Agent.CQX |
间谍贷款恶意软件。 |
532D17F8F78FAB9DB953970E22910D17C14DDC75 |
com.mxolp.postloan.apk |
Android/Spy.KreditSpy.E |
间谍贷款恶意软件。 |
720127B1920BA8508D0BBEBEA66C70EF0A4CBC37 |
com.okey.prestamo.apk |
Android/Spy.Agent.CNA |
间谍贷款恶意软件。 |
2010B9D4471BC5D38CD98241A0AB1B5B40841D18 |
com.水艺文化.gl.apk |
Android/Spy.KreditSpy.C |
间谍贷款恶意软件。 |
892CF1A5921D34F699691A67292C1C1FB36B45A8 |
com.swefjjghs.weejteop.apk |
Android/SpyLoan.EW |
间谍贷款恶意软件。 |
690375AE4B7D5D425A881893D0D34BB63462DBBF |
com.truenaira.cashloan.moneycredit.apk |
Android/SpyLoan.FA |
间谍贷款恶意软件。 |
1F01654928FC966334D658244F27215DB00BE097 |
king.credit.ng.apk |
Android/SpyLoan.AH |
间谍贷款恶意软件。 |
DF38021A7B0B162FA661DB9D390F038F6DC08F72 |
om.sc.safe.credit.apk |
Android/Spy.Agent.CME |
间谍贷款恶意软件。 |
商业网络
IP |
域名 |
托管服务提供商 |
第一次见到 |
更多信息 |
3.109.98[.]108 |
pss.aakredit[.]in |
Amazon.com,Inc. |
2023-03-27 |
C&C 服务器。 |
35.86.179[.]229 |
www.guayabacash[.]com |
Amazon.com,Inc. |
2021-10-17 |
C&C 服务器。 |
35.158.118[.]139 |
例如.easycredit-app[.]com |
Amazon.com,Inc. |
2022-11-26 |
C&C 服务器。 |
43.225.143[.]80 |
ag.ahymvoxxg[.]com |
华为云 |
2022-05-28 |
C&C 服务器。 |
47.56.128[.]251 |
hwpamjvk.whcashph[.]com |
阿里巴巴(美国)科技有限公司 |
2020-01-22 |
C&C 服务器。 |
47.89.159[.]152 |
qt.qtzhreop[.]com |
阿里巴巴(美国)科技有限公司 |
2022-03-22 |
C&C 服务器。 |
47.89.211[.]3 |
休息.bhvbhgvh[.]空间 |
阿里巴巴(美国)科技有限公司 |
2021-10-26 |
C&C 服务器。 |
47.91.110[.]22 |
la6gd.cashwow[.]俱乐部 |
阿里巴巴(美国)科技有限公司 |
2022-10-28 |
C&C 服务器。 |
47.253.49[.]18 |
mpx.mpxoptim[.]com |
阿里巴巴(美国)科技有限公司 |
2023-04-24 |
C&C 服务器。 |
47.253.175[.]81 |
oy.oyeqctus[.]com |
阿里云-美国 |
2023-01-27 |
C&C 服务器。 |
47.254.33[.]250 |
iu.iuuaufbt[.]com |
阿里巴巴(美国)科技有限公司 |
2022-03-01 |
C&C 服务器。 |
49.0.193[.]223 |
kk.softheartlend2[.]com |
IRT-HIPL-SG |
2023-01-28 |
C&C 服务器。 |
54.71.70[.]186 |
www.credibusco[.]com |
Amazon.com,Inc. |
2022-03-26 |
C&C 服务器。 |
104.21.19[.]69 |
cy.amorcash[.]com |
Cloudflare,Inc。 |
2023-01-24 |
C&C 服务器。 |
110.238.85[.]186 |
api.yumicash[.]com |
华为云 |
2020-12-17 |
C&C 服务器。 |
152.32.140[.]8 |
应用程序.truenaira[.]co |
IRT-UCloud-HK |
2021-10-18 |
C&C 服务器。 |
172.67.131[.]223 |
apitai.cocash[.]com |
Cloudflare,Inc。 |
2021-10-21 |
C&C 服务器。 |
MITRE ATT&CK 技术
该表是使用 13版 MITRE ATT&CK 框架。
战术 |
ID |
名字 |
课程描述 |
药物发现 |
软件发现 |
SpyLoan 可以获得已安装应用程序的列表。 |
|
文件和目录发现 |
SpyLoan 列出外部存储上的可用照片并提取 Exif 信息。 |
||
系统网络配置发现 |
SpyLoan 提取 IMEI、IMSI、IP 地址、电话号码和国家/地区。 |
||
系统信息发现 |
SpyLoan 提取有关设备的信息,包括 SIM 序列号、设备 ID 和常见系统信息。 |
||
购物 |
位置跟踪 |
SpyLoan 跟踪设备位置。 |
|
受保护的用户数据:日历条目 |
SpyLoan 提取日历事件。 |
||
受保护的用户数据:通话记录 |
SpyLoan 提取通话记录。 |
||
受保护的用户数据:联系人列表 |
SpyLoan 提取联系人列表。 |
||
受保护的用户数据:短信 |
SpyLoan 提取短信。 |
||
指挥和控制 |
应用层协议:Web 协议 |
SpyLoan 使用 HTTPS 与其 C&C 服务器进行通信。 |
|
加密通道:对称密码学 |
SpyLoan 使用 AES 加密其通信。 |
||
渗出 |
通过 C2 通道进行渗透 |
SpyLoan 使用 HTTPS 窃取数据。 |
- :具有
- :是
- :不是
- :在哪里
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 16
- 17
- 19
- 1
- 20
- 2018
- 2020
- 2021
- 2022
- 2023
- 225
- 24
- 30日
- 32
- 35%
- 360
- 60
- 67
- 7
- 8
- 9
- 91
- a
- Able
- 关于
- 接受
- ACCESS
- 访问
- 无障碍
- 完成
- 根据
- 账号管理
- 账户
- 精准的
- 横过
- 操作
- 要积极。
- 积极地
- 活动
- 演员
- 实际
- 通
- 额外
- 另外
- 地址
- 高级
- 优点
- 忠告
- AES
- 非洲
- 后
- 再次
- 驳
- 机构
- 经纪人
- 协议
- 向前
- 瞄准
- 目标
- 类似的
- 警惕
- 通知
- 所有类型
- 联盟
- 允许
- 已经
- 还
- 尽管
- 时刻
- 美国
- 美国人
- 其中
- an
- 分析
- 和
- 安卓
- 全年
- 另一个
- 任何
- 分析数据
- 应用
- 应用程序商店
- 出现
- Apple
- Apple App
- 苹果应用程序商店
- 应用领域
- 应用领域
- 应用的
- 使用
- 应用
- 的途径
- 批准
- 批准
- 应用
- 四月
- APT
- 保健
- 围绕
- AS
- 亚洲
- 问
- 方面
- 方面
- 评估
- 评定
- 帮助
- 相关
- At
- 关注我们
- 生
- 吸引力
- 真实性
- 当局
- 权威
- 自动
- 可使用
- 大道
- 避免
- 察觉
- 意识
- 背部
- 坏
- 银行
- 银行业
- 基地
- 基于
- 基本包
- BE
- 成为
- 因为
- 很
- before
- 开始
- 行为
- 背后
- 作为
- 相信
- 最佳
- 更好
- 之间
- 提防
- 超越
- 分娩
- 敲诈
- 板
- 董事会
- 借来的
- 借款人
- 借款人
- 都
- 分支机构
- 品牌推广
- 广阔
- 浏览器
- 浏览器
- 建筑物
- 建
- 商业
- 商业惯例
- 但是
- by
- 日历
- 呼叫
- 来了
- 相机
- 营销活动
- CAN
- 可以得到
- 加拿大
- 不能
- 能力
- 牌
- 小心
- 进行
- 案件
- 例
- 现金
- 喵星人
- 摔角
- 警告
- 谨慎
- 一定
- 肯定
- 可能性
- 变
- 更改
- 渠道
- 通道
- 带电
- 收费
- 充电
- 要求
- 声称
- 自称
- 索赔
- 明确地
- 关闭
- 密切
- CO
- 码
- 代码
- 收藏
- 采集
- 集体
- 统
- 哥伦比亚
- COM的
- 结合
- 舒适
- 承诺
- 相当常见
- 通信
- 沟通
- 通信
- 公司
- 公司
- 对照
- 被迫
- 投诉
- 完成
- 完全
- 执行
- 关注
- 结论
- 谴责
- 进行
- 配置
- 确认
- 后果
- 考虑
- 消费者
- 消费者保护
- CONTACT
- 联系
- 包含
- 包含
- 包含
- 上下文
- 持续
- 对比
- 控制
- 方便
- 价格
- 成本
- 可以
- 国家
- 国家
- 特定国家
- 外壳
- 创建信息图
- 可信性
- 信用
- 关键
- 顾客
- 合作伙伴
- DART
- data
- 数据访问
- 日期
- 一年中的
- 死亡
- 债务
- 十二月
- 专用
- 国防
- 延迟
- 需求
- 需求
- 部署
- 深度
- 描述
- 描述
- 描述
- 设计
- 设计
- 通过电脑捐款
- 详细
- 详情
- 检测
- 检测
- 检测
- 确定
- 开发
- 开发商
- 开发
- 研发支持
- 设备
- 不同
- 难
- 数字
- 数字媒体
- 直接
- 团队介绍
- 透露
- 破坏
- 区分
- 分
- do
- 文件
- 文件
- 不
- 不会
- 不会
- 完成
- 别
- 门
- 向下
- 下载
- 下载
- 下载
- 几十个
- 驾驶
- 两
- ,我们将参加
- 此前
- 容易
- 易
- 效果
- 埃及
- 或
- 分子
- 邮箱地址
- 雇用
- 遇到
- 加密
- 结束
- 强制
- 订婚
- 确保
- 保证
- 实体
- 环境
- 特别
- 必要
- 成熟
- 评估
- 伦理
- 欧洲
- 欧洲国家
- 评估
- 甚至
- 事件
- EVER
- 所有的
- 证明
- 进化
- 例子
- 过多
- 锻炼
- 渗出
- 现有
- 预期
- 开支
- 体验
- 明确地
- 利用
- 扩展
- 广泛
- 外部
- 敲诈
- 提取物
- 非常
- 面部彩妆
- 促进
- 促进
- 事实
- 秋季
- 堕落
- 落下
- 高效率
- 专栏
- 反馈
- 费用
- 部分
- 数字
- 档
- 金融
- 金融
- 财务信息
- 金融机构
- 金融服务
- 金融技术
- 找到最适合您的地方
- 寻找
- fintech
- 姓氏:
- 五
- 扑
- 专注焦点
- 如下
- 脚部
- 针对
- 力
- 申请
- 形式
- 发现
- 四
- 骨架
- 骗局
- Free
- 止
- 前
- ,
- 功能
- 功能
- 资金
- 进一步
- Gain增益
- 搜集
- 给
- 其他咨询
- 通常
- 生成
- 产生
- 发电机
- 真正
- 得到
- Go
- GOES
- 去
- 谷歌
- Google Play
- 谷歌的
- 得到了
- 统治
- 授予
- 授予
- 发放
- 增长
- 成长
- 事业发展
- 保证
- 方针
- 民政事务总署
- 手
- 发生
- 有害
- 野生捕捞
- 有
- 有
- he
- 帮助
- 帮助
- 老旧房屋
- 隐藏
- 高
- 更高
- 他
- 招聘
- 他的
- 历史
- 诚实的
- 创新中心
- How To
- 但是
- HTML
- HTTPS
- ID
- 相同
- 鉴定
- 确定
- 鉴定
- 确定
- 身分
- 身份验证
- if
- 不法
- 错觉
- 图片
- 图片搜索
- 图片
- 即时
- 巨大
- 影响力故事
- 实施
- 重要
- 改善
- in
- 事件
- 包括
- 包括
- 包括
- 包含
- 收入
- 成立
- 增加
- 增加
- 印度
- 印度
- 表示
- 个人
- 印度尼西亚
- 印尼语
- 行业中的应用:
- 信息
- 通知
- 咨询内容
- 刀片
- 专题
- 安装
- 安装
- 安装
- 例
- 代替
- 机构
- 机构
- 保险
- 房源搜索
- 故意
- 兴趣
- 利率
- 利率
- 介入
- 成
- 介绍
- 侵入
- 投资
- 涉及
- 参与
- iOS
- IP
- IP地址
- 孤立
- IT
- 它的
- 一月
- 2021 年 XNUMX 月
- 工作
- 保持
- 肯尼亚
- 不停
- 套件 (SDK)
- 知道
- 知识
- 已知
- KYC
- KYC要求
- 语言
- 名:
- 后来
- 拉丁语
- 拉美
- 拉丁美洲
- 发射
- 法律
- 执法
- 法律
- 层
- 层
- 最少
- 左
- 法律咨询
- 法律上
- 立法
- 合法
- 合法
- 贷款人
- 贷款
- 减
- 杠杆作用
- 借力
- 库
- 执照
- 喜欢
- 极限
- 有限
- 访问受限
- Line
- 友情链接
- 清单
- 已发布
- 书单
- 贷款
- 贷款
- 本地
- 圖書分館的位置
- 日志
- 不再
- 看
- 占地
- 爱
- 公司
- 机
- 制成
- 主要
- 主流
- 多数
- 使
- 制作
- 制作
- 恶意软件
- 许多
- 地图
- 市场
- 问题
- 可能..
- 手段
- 措施
- 机制
- 媒体
- 药物治疗
- 满足
- 会员
- 成员
- 提到
- 的话
- 条未读消息
- 方法
- 墨西哥
- 可能
- 百万
- 百万
- 介意
- 未成年人
- 误导
- 减轻
- 联络号码
- 移动应用程序
- 移动电话
- 移动应用
- 模型
- 钱
- 更多
- 最先进的
- 大多
- 移动
- 移动
- 移动平均线
- 许多
- 必须
- MX
- 姓名
- 名称
- National
- 国家银行
- 必要
- 需求
- 打印车票
- 需要
- 负
- 网络
- 全新
- 尼日利亚
- 没有
- 规范
- 注意
- 注意到
- 没什么
- 十一月
- 数
- 数字
- 获得
- 获得
- of
- 提供
- 优惠精选
- 办公
- 官方
- 经常
- on
- 一
- 那些
- 在线
- 仅由
- 到
- 打开
- 开放源码
- 开源软件
- 公然
- 操作
- 操作
- 附加选项
- or
- 秩序
- 组织
- 始发地
- 起源
- 其他名称
- 我们的
- 输出
- 概述
- 学校以外
- 超过
- 最划算
- 己
- 页
- 巴基斯坦
- 特别
- 合伙人
- 部分
- 密码
- 过去
- 付款
- 支付
- 和平
- 对等
- 点对点借贷
- 员工
- 百分比
- 演出
- 期间
- 允许
- 权限
- 人
- 个人
- 个人资料
- 秘鲁
- 菲律宾
- 电话
- 照片
- 照片
- 图片
- 图片
- 地方
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 播放
- 播放
- 请
- 点
- 政策
- 政策
- 热门
- 提出
- 位置
- 职位
- 积极
- 发布
- 潜力
- 潜在客户
- 可能
- 做法
- 掠夺
- 存在
- 当下
- 呈现
- 预防
- 以前
- 先前
- 隐私
- 私隐政策
- 私立
- 问题
- 过程
- 过程
- 处理
- 热销产品
- 曲目
- 代码编程
- 被禁止
- 有希望
- 促进
- 证明
- 正确
- 保护
- 保护
- 保护
- 保护
- 协议
- 提供
- 提供
- 提供者
- 供应商
- 提供
- 优
- 出版物
- 出版
- 采购
- 目的
- 目的
- 放
- 题
- 快速
- 很快
- 相当
- 提高
- 凸
- 范围
- 快
- 率
- 价格表
- RE
- 达到
- 达到
- 阅读
- 真实
- 现实
- 真
- 原因
- 合理
- 原因
- 接收
- 收到
- 最近
- 承认
- 建议
- 减少
- 参考
- 指
- 关于
- 而不管
- 地区
- 地区
- 在相关机构注册的
- 注册
- 监管
- 法规
- 有关
- 相应
- 可靠
- 依靠
- 提醒
- 切除
- 去除
- 报答
- 还款
- 报告
- 报道
- 业务报告
- 代表
- 信誉良好
- 请求
- 要求
- 要求
- 必须
- 岗位要求
- 研究
- 研究人员
- 那些
- 提供品牌战略规划
- 揭示
- 揭密
- 反转
- 检讨
- 评论
- 右
- 权利
- 上升
- 风险
- 风险评估
- 风险
- 角色
- 卷
- 运行
- s
- 安全
- 实现安全
- 同
- 说
- SC
- 诈骗
- 诈骗应用
- 诈骗网站
- 骗子
- 扫描
- 始你
- 方案
- 方案
- 范围
- 截图
- SDK
- 搜索
- 其次
- 部分
- 保安
- 保安措施
- 看到
- 寻找
- 寻求
- 似乎
- 似乎
- 看到
- 选择
- 选
- 自拍
- 发送
- 敏感
- 发送
- 串行
- 服务
- 服务器
- 服务器
- 服务
- 特色服务
- 集
- XNUMX所
- 几个
- Share
- 共用的,
- 共享
- 鲨鱼
- 应该
- 陈列宣传
- 如图
- 作品
- 双方
- 显著
- 显著
- SIM
- 类似
- 简易
- 只是
- 自
- 新加坡
- 情况
- 智能手机
- 智能手机
- 短信
- So
- 社会
- 社会化媒体
- 软件
- 软件开发
- 软件开发工具包
- 一些
- 极致
- 来源
- 来源
- 东南
- 东南亚
- 西班牙语
- 具体的
- Spot
- 间谍
- 标准
- 标准
- 与之形成鲜明
- 开始
- 开始
- 州/领地
- 说
- 说明
- Status
- 住宿
- 步骤
- 仍
- 库存
- 被盗
- Stop 停止
- 存储
- 商店
- 存储
- 商店
- 精简
- 提交
- 后来
- 成功
- 顺利
- 这样
- 足够
- SUPPORT
- 可疑
- SWIFT的
- 系统
- 表
- 策略
- 采取
- 拍摄
- 服用
- 针对
- 瞄准
- 任务
- 专案组
- 团队
- 科技
- 技术上
- 技术
- 专业技术
- 条款
- 文本
- 泰国
- 比
- 这
- 线
- 菲律宾人
- 其
- 他们
- 他们自己
- 然后
- 那里。
- 因此
- 博曼
- 他们
- 事
- 第三
- 第三方
- Free Introduction
- 那些
- 虽然?
- 威胁
- 威胁报告
- 威胁
- 三
- 通过
- 次
- 至
- 一起
- 了
- 工具
- 合计
- 传统
- 交易
- 翻译
- 用户评论透明
- 透明
- 趋势
- true
- 信任
- 信任
- 真相
- 二
- 类型
- 普遍
- 一般
- 最终
- 相关
- 理解
- 理解
- 不必要
- 更新
- 上传
- 紧急
- us
- 美国
- 用法
- 使用
- 用过的
- 用户
- 用户评论
- 用户友好
- 用户
- 使用
- 运用
- 平时
- 利用
- 有效
- 验证
- 有价值
- 变种
- 各个
- 企业验证
- 确认
- 版本
- 版本
- 非常
- 通过
- 受害者
- 受害者
- 视频
- 越南
- 违反
- 参观
- vs
- 脆弱
- 想
- 警告
- 警告
- 是
- 方法..
- 方法
- we
- 卷筒纸
- 您的网站
- 网站
- 去
- 为
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 无线网络连接
- 宽
- 大范围
- 宽度
- 维基百科上的数据
- 将
- 愿意
- 窗户
- 中
- 也完全不需要
- 措辞
- 价值
- 将
- 写作
- 世界金融时报
- 年
- 完全
- 您一站式解决方案
- 你自己
- YouTube的
- 和风网
- 区