近年來,隨著智慧型手機的普及,行動應用程式成為人們日常生活中不可或缺的工具。然而,這也為網路犯罪分子提供了新的犯罪機會。最近,一款名為「SpyLend」的惡意Android應用程式引起了廣泛關注。這款應用程式偽裝成一個名為「Finance Simplified」(套件名稱:com.someca.count)的金融工具,實際上卻是一個非法貸款應用程式入口。通過欺騙手段,它不僅竊取用戶的敏感數據,還進行勒索和騷擾,嚴重威脅用戶的隱私和安全。
Android 惡意程式「Finance Simplified」曝光:超過十萬用戶成金融詐騙目標
「Finance Simplified」表面上是一個提供金融計算功能的應用程式,聲稱可以幫助用戶計算貸款和利息。然而,實際上它卻是一個惡意軟體的偽裝。一旦用戶下載並安裝,該應用程式會根據用戶的地理位置(主要針對印度用戶)顯示一系列未經授權的貸款應用程式。這些貸款應用程式通過WebView技術加載,繞過了Google Play商店的安全審查,讓用戶在不知不覺中陷入詐騙陷阱。
令人驚訝的是,這些惡意應用程式至今部分仍在Google Play商店上架,在過去一週內,該應用程式的下載量從5萬次迅速增長至10萬次,顯示出其正在大規模擴散。許多用戶在評論中表示,這款應用程式不僅沒有提供宣稱的功能,還涉及數據竊取、騷擾甚至勒索。有用戶報告稱,他們的照片被惡意編輯成偽造的裸照,並被用來進行威脅。而且該應用程式會將用戶重定向至外部網站以下載APK文件,完全繞過Google Play商店的安全檢查,進一步增加了風險。
Finance Simplified 惡意行為
地理位置追蹤:「Finance Simplified」會檢測用戶的地理位置,並根據位置顯示特定的貸款應用程式。這些應用程式主要針對印度用戶(台灣目前未傳出災情),顯示出攻擊者的精準定位。
WebView技術濫用:該 App 通過WebView加載外部內容,這意味著攻擊者可以隨時修改顯示的內容,而用戶對此毫不知情。這種技術被用來顯示虛假的貸款應用程式,並將用戶引導至外部網站以下載惡意APK文件。
敏感權限濫用:一旦安裝,該應用程式會請求多項敏感權限,包括存取相機、位置、通話記錄、簡訊和外部存儲。雖然它聲稱這些權限用於身份驗證和文件存儲,但實際上卻被用來竊取用戶的個人數據。
剪貼簿數據竊取:該應用程式會捕捉用戶剪貼簿中的內容,包括密碼、信用卡號碼等敏感資訊。這些數據會被傳輸至攻擊者的伺服器,用於進一步的詐騙活動。
通話記錄與聯絡人數據收集:除了剪貼簿數據,該應用程式還會存取用戶的通話記錄和聯絡人資訊。這些數據可能被用於騷擾用戶的親友,或進行更複雜的社交工程攻擊。
勒索與騷擾:最令人過份的是,攻擊者還會利用竊取的數據進行勒索。例如,他們會編輯用戶的照片,偽造出裸照並威脅公開,逼迫用戶支付金錢。
目前已知的 Finance Simplified使用手法是使用一個託管在Amazon EC2上的自定義C2伺服器來管理數據傳輸。調查發現,C2伺服器的管理面板支持英文和中文,這表明攻擊者可能來自中文使用者群體(可能來自中國)。除了「Finance Simplified」,攻擊者還運營了多個類似的貸款應用程式,如KreditPro、MoneyAPE和StashFur。這些應用程式具有相似的界面和功能,顯示出它們可能由同一團體開發和運營。
一些應用程式(如KreditApple)在被揭露後進行了重新包裝和品牌重塑,試圖掩蓋其過去的詐騙行為。這種策略讓攻擊者能夠持續進行詐騙活動,同時逃避監管。
一般用戶如何保護自己?
-
避免下載來路不明的應用程式:即使是從官方應用程式商店下載的應用程式,也可能存在風險。用戶應仔細閱讀評論和評分,並避免下載請求過多權限的應用程式。
-
定期檢查設備權限:用戶應定期檢查已安裝應用程式的權限,並關閉不必要的存取權限。
-
使用安全軟體:安裝信譽良好的防毒軟體,可以幫助檢測和阻止惡意應用程式。
-
提高警覺:如果發現應用程式行為異常(如頻繁彈出廣告或請求敏感資訊),應立即卸載並報告。
結論
「Finance Simplified」事件再次提醒我們,網路犯罪分子正在利用日益複雜的技術進行詐騙活動。這類惡意程式不僅竊取用戶的敏感數據,還通過勒索和騷擾對用戶造成心理和經濟上的傷害。隨著這類威脅的不斷增加,用戶必須提高警惕,不要下載來歷不明的服務或需自行下載apk的應用,下載前需詳閱開發者資訊,以免上當受騙造成個人財產損失。
