Sul Play Store circola SpyLoan, prestiti da strozzini con furti di dati

I ricercatori della società di sicurezza ESET hanno individuato SpyLoan, un malware del Play Store presente in almeno 18 app che collettivamente sono state scaricate oltre 12 milioni di volte. Google ha già provveduto a rimuovere tutte le app coinvolte meno una, che è stata sistemata dai suoi sviluppatori e che ora non rappresenta più un rischio per la sicurezza.

Come lascia intuire il nome, le app si spacciavano per servizi di prestiti (“loan” in inglese) legittimi promettendo pochi controlli e accesso rapido al denaro. Tuttavia, avevano interessi estremamente elevati e gli sviluppatori ricattavano chi non pagava con le informazioni rubate dalle app stesse. Tra i dati estorti figuravano tutti gli account configurati sul dispositivo, informazioni tecniche sul dispositivo, registro chiamate, app installate, eventi del calendario, dettagli sulle reti Wi-Fi, SMS, lista contatti, posizione e metadati dalle immagini in galleria.

Le società di cybersicurezza tengono sott’occhio SpyLoan già dal 2020, ma è negli ultimi mesi che si è diffuso. Oltre al Play Store, la truffa circola anche in app store alternativi di terze parti e siti poco raccomandabili. Non è particolarmente diffusa dalle nostre parti: la lista di Paesi più colpiti include Messico, India, Thailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Offrire prestiti di denaro non è inerentemente vietato nel Play Store, e a una prima analisi le app fanno tutto in modo corretto - hanno informative sulla privacy ragionevoli e seguono tutte le migliori procedure KYC (Know Your Customer). Richiedono molte autorizzazioni, ma per la maggior parte di esse hanno delle spiegazioni quantomeno plausibili - per esempio l’accesso alla fotocamera è necessario per scattare foto di documenti e moduli.

Tuttavia, una volta ottenute le necessarie autorizzazioni dall’utente/vittima, i tempi per il pagamento del prestito vengono ridotti drasticamente senza preavviso, con relative minacce di pubblicazione di informazioni imbarazzanti se non si fa come richiesto. Alcune app si spingevano addirittura a contattare i numeri nella rubrica della vittima raccontando loro del prestito e invitandole a esortare la vittima a pagare.