Cercetători în securitate IT au descoperit o serie de aplicații malițioase în Magazinul Google Play, instalate deja de mii de ori, care vizează infracțiuni financiare și șantaj pe baza datelor sensibile stocate pe smartphone-uri.
Analiza realizată de echipa Cyfirma arată că aplicațiile erau sau au fost disponibile sub numele „Finance Simplified” (com.someca.count) și în pachetele „KreditApple.apk” (com.kreditapplepronew.com), „Pokketme.apk” (com.poklaan.frein) și „StashFur.apk” (com.stashfurpro.com).
Potrivit cercetătorilor, „Finance Simplified” putea fi accesată în Magazinul Play până cu puțin timp înainte de weekend, însă pagina aferentă afișează acum o eroare 404. Cazul readuce în prim-plan riscurile pentru utilizatorii de Android 16 și versiunile anterioare, care se pot confrunta cu capcane sofisticate chiar în ecosistemul oficial de aplicații.
„Credit prădător” prin WebView și colectare agresivă de date
Ținta principală a campaniei pare a fi India, unde autorii promovează „solicitări de credit prădătoare”. În funcție de localizare, potențialilor utilizatori indieni le sunt afișate aplicații de credit neautorizate care rulează în componente WebView, metodă ce permite ocolirea mecanismelor de protecție ale Magazinului Play.
Odată instalate, aplicațiile colectează date sensibile, încearcă să ofere împrumuturi cu condiții exploatatoare și lansează tentative de extorcare pentru a obține bani. Cyfirma subliniază că atacul mizează pe încrederea publicului în instrumentele financiare și în magazinele oficiale de aplicații, dublată de tehnici avansate de evitare a detecției.
Instalări la scară mare și tactici de șantaj
Cercetătorii estimează că aplicația malițioasă „Finance Simplified” a acumulat între 50.000 și 100.000 de instalări în doar o săptămână. În comentariile utilizatorilor au apărut numeroase plângeri privind tentative de șantaj și folosirea abuzivă a informațiilor personale, inclusiv generarea de imagini nud false pornind de la fotografiile din telefon. Serverele de comandă și control sunt găzduite pe infrastructura cloud EC2 a Amazon, iar panoul de administrare oferă interfețe în engleză și chineză—un indiciu că în spatele campaniei s-ar putea afla și atacatori vorbitori de chineză. Pentru departamentele IT, Cyfirma pune la dispoziție Indicatori de Compromitere (IOC), de la domenii C2 la hash-uri ale fișierelor .apk, precum și reguli YARA pentru detectare rapidă.
Reacția ecosistemului și ce au de făcut utilizatorii de Android
Deși operatorii platformelor de aplicații anunță constant contramăsuri, infractorii reușesc periodic să strecoare malware prin filtrele de securitate. Google a eliminat aproape 2,4 milioane de aplicații din Play în 2024, un volum care arată amploarea luptei continue împotriva conținutului dăunător.
Pentru utilizatorii de Android, mesajul este clar: descărcați doar aplicații verificate, verificați atent recenziile și permisiunile, și fiți atenți la aplicațiile financiare care cer acces extins la date. În organizații, echipele de securitate ar trebui să actualizeze constant politicile MDM, să integreze IOC-urile publicate de Cyfirma și să ruleze scanări bazate pe reguli YARA, reducând fereastra de expunere.
Campania descoperită de Cyfirma demonstrează că amenințările mobile evoluează rapid, exploatând atât interfețele legitime precum WebView, cât și încrederea utilizatorilor în ecosistemele oficiale.
Pentru utilizatorii Android, vigilența rămâne esențială, deoarece doar prin combinarea practicilor de securitate la nivel de utilizator și implementarea indicatorilor tehnici în mediile enterprise se pot limita instalările masive și tentativele de extorcare asociate acestor aplicații malițioase.