C'est bien caché sous l'image d'une application Android de prêt d'argent classique que se trouve SpyLoan, qui permet d'obtenir de l'argent un (peu) trop facilement.
C'est monnaie connue, bon nombre d'applications développées pour Android contiennent en réalité des malwares. On les recense même à plusieurs dizaines de milliers cette année qui mènent leur petite barque tranquillement sur nos téléphones sans que nous nous en rendions compte. SpyLoan est nouvelle famille de malwares parmi tous ces logiciels. Déguisé derrière une application dédiée aux prêts personnels, ils sont capables de voler des données sensibles et d'usurper l'identité des utilisateurs. Sur le Google Play Store, plus de 12 millions de téléchargements avaient déjà été recensés.
Le modus operandi de SpyLoan
Pour attirer les utilisateurs vers ces applications, rien de plus simple pour les développeurs : proposer des offres de prêts très attrayantes ! Pourtant, l'ESET (entreprise tech basée à Bratislava) indique bien que « ces applications SpyLoan soient techniquement conformes aux exigences d'une politique de confidentialité ». Cependant, les applications s'emparent ensuite d'une quantité beaucoup trop importante de données : informations de l'appareil, métadonnées des images, journaux d'appels ou événement de calendrier.
Par la suite, un chantage est imposé aux personnes trompées si celles-ci ne souhaitent pas rembourser, avec des taux d'intérêt très élevés. Bien heureusement, l'ESET, qui est également membre de l'App Defense Alliance, a incité Google à éliminer cette année 17 applications sur 18 considérées comme problématiques sur son Store.
Les stratégies de distribution et de tromperie
SpyLoan ne date pas d'hier, puisqu'on sait que le système a commencé à se répandre en 2020 sur Android, et dans une moindre mesure, sous IOS. Plusieurs canaux de distribution existent en dehors de Google Play : magasins d'application tiers et sites web frauduleux. Pour tromper les utilisateurs, les applications imitent à la perfection des sites d'entreprises légitimes. Cependant, elles n'hésitent pas par la suite à violer la politique de services financiers de Google : menaces sur les utilisateurs et réduction arbitraire de la durée des prêts.
Pour l'ESET, ces pratiques vont bien au-delà de la simple collecte d'informations nécessaires pour des services financiers. Elle catégorise cela comme de l'espionnage et du harcèlement ; on ne pourra pas lui donner tort. Bonne nouvelle, c'est que cette campagne s'éteindra certainement très rapidement grâce au travail de l'ESET. La mauvaise, c'est que d'autres du même genre risquent d'apparaître un jour où l'autre. La solution pour se prémunir de ces déconvenues ? Se fier uniquement aux institutions financières officielles et toujours regarder les avis des utilisateurs sur les magasins virtuels.
Sources : Bleeping Computer, Comment Ca Marche
