Seguridad

Spylend Android Malware ha descargado 100,000 veces de Google Play

Una aplicación de malware Android llamada Spylend se ha descargado más de 100,000 veces de Google Play, donde se ha enmascarado como una herramienta financiera, pero se ha convertido en una aplicación de préstamos depredadores para los de la India.

La aplicación es un grupo de aplicaciones maliciosas de Android llamadas “Spyloan”, que afirman ser herramientas financieras o servicios de préstamos legítimos, sino que roban datos de dispositivos para su uso en préstamos depredadores.

Estas aplicaciones atraen a los usuarios con promesas de préstamos rápidas y fáciles, que a menudo requieren poca documentación y ofrecen términos atractivos. Sin embargo, durante la instalación, solicitan autorizaciones excesivas, lo que permite que las aplicaciones roben datos personales como contactos, registros de llamadas, mensajes SMS, fotos y la ubicación del dispositivo.

Esta información recopilada se utiliza para acosar, extorsionar y hacer que los usuarios canten, especialmente si no cumplen con las condiciones de aplicación para la aplicación.

Préstamo y extorsión

La compañía de ciberseguridad de Cyfirma ha descubierto una aplicación de Android llamada “Finance Simplified” que afirma ser una aplicación de gestión financiera y ha recaudado 100,000 descargas en Google Play.

Sin embargo, Cyfirma afirma que la aplicación tiene un comportamiento más malicioso en ciertos países, como la India, donde roba los dispositivos de los usuarios para usar en préstamos depredadores. Los investigadores dicen que también han descubierto APK maliciosos adicionales que parecen ser variantes de la misma campaña de software malicioso, a saber, Kreditapple, Pokketme y Stashfur.

Aunque la aplicación ahora se ha eliminado de Google Play, puede continuar funcionando en segundo plano, recopilando información confidencial de dispositivos infectados.

Aplicación maliciosa en Google Play
Fuente: BleepingCompute

Varias revisiones de usuarios para finanzas simplificadas en Google Play muestran que la aplicación ofrece servicios de préstamos que intentan extorsionar a los prestatarios si no pagan altas tasas de interés.

“Muy muy muy mala aplicación, dieron el monto del préstamo bajo y el correo negro para pagar fotos en otro lugar modificados como un correo negro y negro”, lee una revisión del usuario para la aplicación ahora dibujada.

Las solicitudes también afirman ser registradas de compañías financieras que no son de manejo (NBFC), que, según Cyfirma, es falso.

Para escapar de la detección en Google Play, Finance Simplified carga una vista web para redirigir a los usuarios a un sitio web externo desde donde descargan una aplicación de préstamo APK alojada en un servidor de Amazon EC2.

“La aplicación simplificada de finanzas parece apuntar a los usuarios indios específicamente al mostrar y recomendar aplicaciones de préstamos, cargando una vista web que muestra un servicio de préstamos que redirige a un sitio web externo donde se descarga un archivo APK de préstamo separado”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “,”. explica cyfirma.

Los investigadores descubrieron que la aplicación solo cobrará la interfaz engañosa si la ubicación del usuario es India, que muestra que la campaña tiene una orientación específica.

La ubicación del dispositivo es India (izquierda) y cualquier otro lugar (derecha)
Fuente: Cyfirma

Datos confidenciales robados por aplicación

El aspecto más inquietante de la actividad de malware es la recopilación de datos, que incluye información personal confidencial almacenada en el dispositivo del usuario.

Aquí hay un resumen de los datos de que el software malicioso vuela:

  • Contactos, llame a periódicos, mensajes SMS y detalles del dispositivo.

  • Fotos, videos y documentos de almacenamiento interno y externo.

  • Monitoreo de la ubicación en vivo (actualizada cada 3 segundos), datos de ubicación histórica y dirección IP.

  • Últimas 20 entradas de texto copiadas en el portapapeles.

  • Historial de préstamos y mensajes de transacción SMS bancaria.

Aunque estos datos se utilizan principalmente para extorsionar a las víctimas que cometieron el error de solicitar un préstamo, también pueden usarse para fraude financiero o vender para cibercriminales de fines de lucro.

Descripción general de la operación de spylend
Fuente: Cyfirma

Si cree que su dispositivo ha sido infectado con una de las aplicaciones mencionadas o similares, elimínelas de inmediato, restablezca las autorizaciones, modifique las contraseñas de la cuenta bancaria y realice un análisis de dispositivo.

La herramienta Play Protect de Google detecta y bloquea el malware y las aplicaciones depredadoras conocidas, así que asegúrese de que esté activo en su dispositivo.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

4 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

4 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

4 meses ago
morelljuanjose@gmail.com

No te lo pierdas

Criptomonedas

Bitcoin: de nicho a clase de activo global — y qué significa esto para América Latina

Eventos

LABITCONF 2025: el epicentro imparable que marca el rumbo del mundo cripto y financiero

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Exit mobile version