Denominada MoneyMonger, se cree que está activa desde mayo de 2022
Se ha observado una campaña de malware de Android previamente no documentada que aprovecha las aplicaciones de préstamo de dinero para chantajear a las víctimas para que paguen por la información personal robada de sus dispositivos.
La empresa de seguridad móvil Zimperium denominó la actividad MoneyMonger, señalando el uso del framework multiplataforma Flutter para desarrollar las aplicaciones.
MoneyMonger "aprovecha el marco de trabajo de Flutter para ofuscar características maliciosas y complicar la detección de actividad maliciosa mediante análisis estático", dijeron en un informe los investigadores de Zimperium Fernando Sánchez, Alex Calleja, Matteo Favaro y Gianluca Braga.
"Debido a la naturaleza de Flutter, el código malicioso y la actividad se esconden ahora detrás de un framework fuera de las capacidades de análisis estático de los productos de seguridad móviles heredados".
La campaña, que se cree que está activa desde mayo de 2022, es parte de un esfuerzo más amplio previamente revelado por la firma india de ciberseguridad K7 Security Labs.
Ninguna de las 33 aplicaciones utilizadas en el esquema engañoso se ha distribuido a través de Google Play Store. Las aplicaciones de préstamo de dinero, en cambio, están disponibles a través de tiendas de aplicaciones no oficiales o se descargan en los teléfonos mediante smishing, sitios web comprometidos, anuncios maliciosos o campañas en las redes sociales.
Una vez instalado, el malware presenta un riesgo, ya que está diseñado para solicitar a los usuarios que le concedan permisos intrusivos con el pretexto de garantizar un préstamo y recopilar una amplia gama de información privada.
Los datos recopilados, que incluyen ubicaciones de GPS, SMS, contactos, registros de llamadas, archivos, fotos y grabaciones de audio, se utilizan luego como una táctica de presión para obligar a las víctimas a pagar tasas de interés excesivamente altas por los préstamos, a veces incluso en casos posteriores a la devolución del préstamo.
Para empeorar las cosas, los actores de amenazas someten a los prestatarios a hostigamiento al amenazar con revelar su información, llamar a personas de la lista de contactos y enviar mensajes abusivos y fotos transformadas desde los dispositivos infectados.
La escala de la campaña no está clara debido al uso de sideloading y tiendas de aplicaciones de terceros, pero se estima que las aplicaciones no autorizadas acumularon más de 100.000 descargas a través del vector de distribución.
"La extremadamente novedosa campaña de malware MoneyMonger destaca una tendencia creciente de los actores maliciosos a utilizar el chantaje y las amenazas para estafar a las víctimas", dijo en el comunicado Richard Melick, director de inteligencia de amenazas móviles de Zimperium.
"Los programas de préstamos rápidos a menudo están llenos de modelos depredadores, como altas tasas de interés y esquemas de reembolso, pero agregar chantaje a la ecuación aumenta el nivel de malicia".
Los hallazgos llegan dos semanas después de que Lookout descubriera casi 300 aplicaciones de préstamos móviles en Google Play y en la App Store de Apple que, en conjunto, tienen más de 15 millones de descargas y se descubrió que tenían un comportamiento depredador.
Estas aplicaciones no solo filtran volúmenes extraordinarios de datos de usuarios, sino que también vienen con tarifas ocultas, altas tasas de interés y condiciones de pago que se utilizan para obligar a las víctimas a pagar préstamos fraudulentos.
"Explotan el deseo de las víctimas de obtener efectivo rápido para atrapar a los prestatarios en contratos de préstamos depredadores y les exigen que otorguen acceso a información confidencial, como contactos y mensajes SMS", señaló Lookout a fines del mes pasado.
Los países en desarrollo son un objetivo principal para las aplicaciones de préstamos poco fiables, ya que los préstamos digitales han experimentado un crecimiento explosivo en mercados como India, donde las personas recurren sin darse cuenta a tales plataformas después de que los bancos las rechazaron por no cumplir con los requisitos de ingresos.
La naturaleza explotadora de los términos de los préstamos personales también ha dado lugar a múltiples incidentes de suicidios en el país, lo que llevó al gobierno indio a iniciar el trabajo en una lista de aplicaciones legales de préstamos digitales permitidas en las tiendas de aplicaciones.
Google reveló en agosto que había eliminado más de 2.000 aplicaciones de desembolso de crédito de su Play Store en India desde el comienzo del año por violar sus términos.
El gobierno también ha buscado medidas estrictas y urgentes por parte de las fuerzas del orden contra las aplicaciones de préstamo, la mayoría de ellas controladas por chinos, que se ha descubierto que utilizan técnicas de hostigamiento, chantaje y recuperación severa.
