Il malware SpyLoan spopola sul Play Store: come difendersi

A volte può capitare di avere bisogno di un prestito, ma rivolgersi a un'app qualsiasi sul Play Store potrebbe non essere una buona idea (a proposito, sapete come ottenere il rimborso dalla banca in caso di phishing?). 

Secondo quanto rilevato dalla società di sicurezza informatica ESET, infatti, sono diciotto le app nel marketplace di Google scaricate in complesso più di 12 milioni di volte solo quest'anno e definite SpyLoan, ovvero specializzate nel rilascio di prestiti ma che al contempo rubano i dati degli utenti, e il fenomeno è in continua crescita (sapete la differenza tra antimalware e antivirus?).

Avvistate per la prima volta nel 2020, le app SpyLoan hanno visto un'improvvisa impennata l'anno scorso, soprattutto sui telefoni Android piuttosto che iOS, stando a ESET (un membro della App Defense Alliance dedicata al rilevamento e allo sradicamento del malware da Google Play), Lookout, Zimperium e Kaspersky.

Queste app, che si diffondono da siti web fraudolenti, app store di terze parti e Google Play, si presentano come servizi finanziari legittimi per prestiti personali che promettono "accesso rapido e facile ai fondi".

Tuttavia, ingannano gli utenti ad accettare pagamenti ad alto interesse e poi l'attore della minaccia ricatta le vittime a pagare i soldi in quanto le app rubano dai dati personali del dispositivo che includono un elenco di tutti gli account, informazioni, registri delle chiamate, app installate, eventi del calendario, dettagli della rete Wi-Fi locale e metadati dalle immagini. I ricercatori dicono che il rischio si estende anche all'elenco dei contatti, ai dati sulla posizione e ai messaggi di testo.

Dall'inizio dell'anno, ESET ha rilevato 18 di queste app, anche molto popolari (quella qui sotto è stata scaricata 5 milioni di volte), e le ha segnalate a Google, che ha provveduto a rimuoverne 17. Una invece è ancora disponibile dopo aver cambiato autorizzazioni e funzionalità e non viene più rilevata come minaccia SpyLoan.

Ma com'è possibile che queste app vengano pubblicate su Google Play? Secondo i ricercatori di ESET, queste app dichiarano politiche sulla privacy conformi alle regole di Google, standard di "conoscenza del tuo cliente" (KYC) richiesti e millantano richieste di autorizzazione trasparenti.

In molti casi, le app fraudolente si collegano però a siti web che sono palesi imitazioni di siti aziendali legittimi, mostrando anche foto di dipendenti e uffici per creare un falso senso di autenticità.

In realtà queste app violano la politica dei servizi finanziari di Google accorciando unilateralmente il mandato per i prestiti personali a pochi giorni o qualsiasi altro periodo arbitrario e minacciando l'utente di esporre i suoi dati o foto se non paga.

Inoltre, ciò che viene menzionato nelle politiche sulla privacy è ingannevole, presentando ragioni apparentemente legittime per ottenere autorizzazioni rischiose, come l'autorizzazione della fotocamera, presumibilmente necessaria per consentire il caricamento dei dati fotografici per i dati KYC, o l'accesso al calendario, per pianificare date di pagamento e promemoria.

In realtà, queste sono pratiche estremamente invadenti e illegittime, senza considerare autorizzazioni non necessarie come l'accesso ai registri delle chiamate e agli elenchi di contatti, che usano per estorcere gli utenti quando si oppongono a richieste di pagamento assurde.

ESET ha dichiarato che il rilevamento di SpyLoan è aumentato per tutto il 2023, la minaccia è più prominente in Messico, India, Thailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Come difendersi da questa minaccia? ESET consiglia alcune pratiche di carattere generale, ma sempre valide anche quando si installa un'app da Google Play.

Prima di tutto, affidatevi sempre a istituzioni finanziarie conosciute, e in secondo luogo controllate sempre con attenzione le autorizzazioni richieste all'installazione di una nuova app.

Non da ultimo, e sempre estremamente importante, leggete le recensioni degli utenti su Google Play, che spesso contengono indizi sulla natura fraudolenta dell'app (soprattutto quelle negative, come quelle qui sotto).