I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno osservato nel 2023 una crescita allarmante delle app di prestito Android fraudolente, che si presentano come servizi di prestito personale legittimi, promettendo un accesso rapido e facile ai fondi. Nonostante l’aspetto accattivante, questi servizi sono in realtà progettati per frodare gli utenti, offrendo loro prestiti ad alto tasso di interesse accompagnati da descrizioni ingannevoli, il tutto raccogliendo le informazioni personali e finanziarie delle vittime per ricattarle. I sistemi di ESET riconoscono quindi queste applicazioni con il nome di rilevamento SpyLoan, che si riferisce direttamente alla loro funzionalità spyware combinata con le richieste di prestito. Le app SpyLoan vengono diffuse attraverso i social media e i messaggi SMS e sono disponibili per il download da siti web dedicati alle truffe, app store di terze parti e anche da Google Play.
ESET è un membro dell’App Defense Alliance (ADA) e un partner attivo nel Malware mitigation program, che mira a individuare rapidamente le applicazioni potenzialmente dannose e a bloccarle prima che approdino su Google Play. In qualità di membro dell’ADA, ESET ha identificato 18 applicazioni SpyLoan e le ha segnalate a Google, che ne ha successivamente rimosse 17 dalla sua piattaforma. Queste app avevano un totale di oltre 12 milioni di download da Google Play prima della loro rimozione. L’ultima app elencata ha cambiato il proprio comportamento; ESET non la rileva più come app SpyLoan.
Ogni istanza di una particolare app SpyLoan, indipendentemente dall’origine, si comporta in modo identico grazie ad un comune codice di base. Non importa se il download proviene da un sito web sospetto, da un app store di terze parti o persino da Google Play: gli utenti sperimenteranno le stesse funzioni e correranno gli stessi rischi, indipendentemente dalla provenienza dell’app.
Secondo la telemetria di ESET, gli artefici di queste app, che ricattano e vessano le proprie vittime, anche con minacce di morte, operano principalmente in Messico, Indonesia, Thailandia, Vietnam, India, Pakistan, Colombia, Perù, Filippine, Egitto, Kenya, Nigeria e Singapore. I ricercatori di ESET ritengono che eventuali rilevamenti al di fuori di questi Paesi siano legati a smartphone che, per vari motivi, hanno accesso a un numero di telefono registrato in uno di questi Paesi. Al momento non sono state registrate campagne attive rivolte ai Paesi europei, agli Stati Uniti o al Canada.
Oltre alla raccolta di dati e al ricatto, questi servizi presentano una forma di usura digitale moderna, che si riferisce all’applicazione di tassi di interesse esosi sui prestiti, approfittando di individui vulnerabili. Le vittime di queste app denunciano che il costo totale annuo (CTA) di questi prestiti è molto più alto di quanto stabilito e la durata del prestito è molto più breve di quanto concordato. In alcuni casi, i mutuatari sono stati spinti a rimborsare i loro prestiti in cinque giorni, invece dei 91 giorni previsti, e il CTA di un prestito era compreso tra il 160% e il 340%.
“Queste app fraudolente sfruttano la fiducia che gli utenti ripongono nei fornitori legittimi di prestiti, utilizzando tecniche sofisticate per ingannare le persone e sottrarre un’ampia gamma di informazioni personali -, spiega Lukáš Štefanko, ricercatore ESET che ha scoperto molte delle applicazioni SpyLoan. – È fondamentale che gli individui esercitino cautela, convalidino l’autenticità di qualsiasi app o servizio finanziario e si affidino a fonti attendibili. Rimanendo informati e vigili, gli utenti possono proteggersi meglio dal rischio di cadere vittime di questi schemi ingannevoli”, aggiunge.
ESET Research ha ricostruito le origini dello schema SpyLoan nel 2020. Una volta che l’utente installa un’app SpyLoan, gli viene richiesto di accettare i termini di servizio e di concedere ampie autorizzazioni per accedere ai dati sensibili memorizzati sul dispositivo. Secondo le policy sulla privacy di queste app, se tali autorizzazioni non vengono concesse, il prestito non viene erogato. Per completare il processo di richiesta del prestito, gli utenti sono anche costretti a fornire numerose informazioni personali.
I dati che di solito vengono esfiltrati al server di Command & Control (C&C) comprendono l’elenco degli account dell’utente, i registri delle chiamate, gli eventi del calendario, le informazioni sul dispositivo, gli elenchi delle app installate, le informazioni sulla rete Wi-Fi locale e persino quelle sui file presenti sul dispositivo. Inoltre, sono esposti gli elenchi dei contatti, i dati sulla posizione e i messaggi SMS. Per proteggere le proprie attività, gli autori del reato criptano tutti i dati rubati prima di trasmetterli al server C&C. Sebbene le istituzioni finanziarie legittime siano tenute a raccogliere informazioni personali sui propri clienti, la verifica dell’identità e la valutazione del rischio possono essere effettuate utilizzando metodi di raccolta dati molto meno invasivi. ESET Research ritiene che il vero scopo delle autorizzazioni richieste dalle app SpyLoan sia quello di spiare gli utenti e di ricattare sia loro che i loro contatti.
Dopo l’installazione dell’app e la raccolta dei dati personali, i responsabili dell’applicazione iniziano a fare pressione sulle vittime per indurle a effettuare i pagamenti, anche se, secondo le recensioni, l’utente non ha richiesto un prestito o lo ha richiesto ma non è stato approvato. Tali pratiche sono state descritte nelle recensioni di queste app su Facebook e su Google Play.
“Sono diverse le ragioni dietro la rapida crescita delle app SpyLoan. Una di queste è che gli sviluppatori di queste app si ispirano ai servizi FinTech (tecnologia finanziaria) di successo, che sfruttano la tecnologia per fornire servizi finanziari semplificati e facili da usare”, spiega Štefanko.
