Sous couvert de demande de prêts bancaires aux taux exorbitants, ces applications collectent de nombreuses informations sensibles et les exfiltrent vers les serveurs des attaquants. Ces données sont ensuite utilisées pour harceler et faire chanter les utilisateurs de ces applications, et selon les avis des utilisateurs, cela a été le cas même lorsque le prêt n'a pas été accordé. La télémétrie d'ESET montre une croissance importante de ces applications sur des magasins d'applications non officiels, Google Play et des sites Web depuis début 2023. Les applications de prêt malveillantes ciblent les emprunteurs potentiels en Asie du Sud-Est, en Afrique et en Amérique latine." Cette année, les chercheurs d'ESET ont découvert une croissance alarmante d'applications Android d'emprunt financier trompeuses. Ces applications se présentent comme des services légitimes de prêts personnels, promettant un accès rapide et facile aux fonds. Malgré leur apparence attrayante, ces services sont en réalité conçus pour tromper la vigilance des utilisateurs en leur proposant des prêts à taux d'intérêt élevé, tout en collectant des données personnelles et financières afin de les faire chanter. Les produits ESET reconnaissent ces applications sous la détection « SpyLoan », en référence directe à leur fonctionnalité d'espionnage associée aux demandes de prêt. Les applications SpyLoan sont promues via les médias sociaux, des messages SMS et sont téléchargeables depuis des sites web frauduleux, des boutiques d'applications tierces et même Google Play store.
ESET est membre de l'App Defense Alliance (ADA) et très actif dans la lutte contre les logiciels malveillants. Notre objectif est de détecter rapidement les applications potentiellement nuisibles et de les arrêter avant qu'elles n'atteignent Google Play. En tant que membre de l'ADA, ESET a identifié 18 applications SpyLoan et les a signalées à Google, qui a ensuite supprimé 17 de ces applications de sa plateforme. Ces applications avaient été téléchargées plus de 12 millions de fois depuis Google Play avant leur suppression. La dernière application répertoriée ayant changé ; ESET ne la détecte donc plus comme une application SpyLoan.
D'après la télémétrie d'ESET, les instigateurs de ces applications, font chanter et harcèlent leurs victimes, y compris avec des menaces de mort. Elles opèrent principalement au Mexique, en Indonésie, en Thaïlande, au Vietnam, en Inde, au Pakistan, en Colombie, au Pérou, aux Philippines, en Egypte, au Kenya, au Nigeria et à Singapour. Les chercheurs d'ESET estiment que toute détection en dehors de ces pays est liée à des smartphones qui ont, pour diverses raisons, accès à un numéro de téléphone enregistré dans l'un de ces pays. Il n'y a actuellement aucune campagne active visant les pays européens, les Etats-Unis ou le Canada.
Les données généralement exfiltrées vers le serveur de commande et de contrôle comprennent la liste des comptes de l'utilisateur, les journaux d'appels, les événements du calendrier, les informations sur l'appareil, les listes d'applications installées, les informations sur le réseau Wi-Fi local, et même des informations sur les fichiers sur l'appareil. De plus, les listes de contacts, les données de localisation et les messages SMS sont vulnérables. Pour protéger leurs activités, les auteurs chiffrent toutes les données volées avant de les transmettre au serveur. Alors que les institutions financières légitimes sont tenues de collecter des informations personnelles sur leurs clients, la vérification d'identité et l'évaluation des risques peuvent être effectuées à l'aide de méthodes de collecte de données beaucoup moins intrusives. Les chercheurs d'ESET estiment que le véritable objectif des autorisations demandées par les applications SpyLoan est d'espionner leurs utilisateurs, de les harceler et de les faire chanter, ainsi que leurs contacts.
