Les chercheurs de Cyfirma ont décelé la présence d’un nouveau malware sur le Google Play Store. Baptisé SpyLend, le logiciel malveillant se fait passer pour une application financière inoffensive permettant d’obtenir des prêts en quelques clics, Finance Simplified.
Une fois installé sur le smartphone de ses cibles, le virus va d’abord réclamer une foule d’autorisations. Avec ces autorisations, exigées sous des prétextes fallacieux, le malware va collecter une immense quantité de données, comme des listes de contacts, des historiques d’appels, des SMS, des photos et la localisation de l’appareil. Les chercheurs ont aussi constaté la collecte de l’intégralité de l’historique des localisations, des 20 dernières entrées du presse-papiers, de l’historique des prêts et des messages de transactions bancaires par SMS. Ces données personnelles vont discrètement être récupérées par les cybercriminels à l’origine de l’opération.
« Bien qu’il affirme que l’accès à la caméra est destiné à la vérification de l’identité, cela pourrait en réalité permettre la prise ou la surveillance de photos non autorisées », souligne Cyfirma.
À lire aussi : trois apps frauduleuses ont infiltré le Play Store et l’App Store pour vous dépouiller
Chantage aux photos intimes
Par la suite, l’application va fonctionner comme prévu en proposant à l’utilisateur de souscrire à des prêts à des taux élevés. Afin de berner les cibles, l’application prétend provenir d’entreprises financières non bancaires enregistrées (NBFC). Ces entreprises sont régulées par des autorités financières spécifiques, mais elles ne sont pas soumises aux mêmes règles que les banques. En fait, Finance Simplified n’a pas été développé par une société enregistrée. L’application est « une passerelle vers des applications de prêt prédatrices » qui sont illégales.
Une fois le prêt accordé, les pirates vont se servir des informations volées pour extorquer davantage d’argent aux usagers et leur mettre la pression. Comme le montrent les témoignages visibles sur le Play Store, les escrocs n’hésitent à menacer la cible de publier leurs photos intimes en cas de retard de paiement. Si aucune photo compromettante n’est trouvée, les pirates vont en concevoir à l’aide des deepfakes et des clichés stockés sur le téléphone.
« Une fois les données des utilisateurs collectées, les attaquants menacent et harcèlent les victimes en éditant leurs photos pour créer de fausses images de nus », met en garde Cyfirma.
Un nouveau cas de SpyLoan
En fait, SpyLend fait partie des logiciels malveillants de type SpyLoan. Ces virus visent les internautes cherchant des fonds rapidement. Elles se font passer pour des organismes financiers fiables et séduisent les utilisateurs avec des promesses de prêts simples et rapides. Ensuite, les pirates exploitent les données en leur possession pour faire chanter les victimes, dont la situation financière est déjà compliquée.
Comme l’a constaté Cyfirma, Finance Simplified a été téléchargé plus de 100 000 fois par le biais du Play Store. La plupart des victimes résident en Inde. L’application « a affiché une augmentation significative des téléchargements, passant de 50 000 à 100 000 en une seule semaine », souligne le rapport.
Pour pénétrer sur la boutique à l’insu de Google, SpyLend charge une fenêtre à l’aide de WebView, un composant qui permet d’afficher des pages web à l’intérieur de l’application. Cette page web redirige ensuite les utilisateurs vers un site externe. À partir de ce site, les utilisateurs peuvent télécharger une application de prêt sous forme de fichier APK. Dès lors, la partie de l’application contenant des infractions aux règles de Google ne passe jamais par le Play Store.
Alerté par la société de sécurité, Google a promptement exclu l’application du Play Store. Ce n’est pas la première fois que des applications SpyLoan apparaissent sur le Play Store à l’insu de Google. En novembre dernier, 15 apps Android taillées pour l’extorsion s’étaient glissées sur la plateforme. Un an plus tôt, 18 applications analogues avaient été débusquées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cyfirma
