官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。
为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。
在网络安全公司Lookout的一份新报告中,研究人员发现了251个安卓35个iOS的借贷应用,这些应用的下载量合计达1500万次,主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。
Lookout向谷歌和苹果报告了所有这些应用的情况,并成功地将它们全部删除。
欺诈性贷款应用程序
这些贷款应用程序在发展中国家取得了巨大的收益,因为这些国家的金融机制问题,欺诈行为的报告不太可能被起诉。
在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。
一旦授予权限,应用程序立即开始从设备中上传敏感数据到他们自己的服务器。
如果用户不批准这些权限请求,应用程序将不允许他们提交贷款请求。
在第一次启动时,被要求授予权限,并且要求用户填写KYC(了解你的客户)表格,要求提供身份证的信息,等等。
接下来,这些应用程序向用户提供欺骗性或虚假的贷款条款,促使他们贷款。
当受害者收到部分贷款时,利率条款会发生变化,或者出现之前的隐藏费用,有时会达到总借款额的三分之一。
一些用户还报告说,这些应用程序将还款期从承诺的180天减少到只有8天,在逾期时征收高额利息和罚款。
由于大多数人无法接受,没有能力或不愿意偿还贷款。应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰,从通讯录中联系他们的家人和朋友并透露债务情况。
甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人,对贷款人造成极大的困扰。
苹果和谷歌进行了干预
苹果和谷歌允许小额贷款应用程序在其应用程序商店中使用,但有严格的政策来规范其运作。
准则规定,最短的还款期应该是60天,最高的年收费百分比应该是36%。
上述应用程序声称条款符合这些准则,但在实际应用中,并不像他们所说的这样,所以应用程序商店因违反条款而将其删除。
当然,还需要进行更多的检查,以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时用户在下载时也应该保持警惕,防止不合规的条款盗取我们的信息。
参考来源:https://www.bleepingcomputer.com/news/security/android-and-ios-apps-with-15-million-installs-extort-loan-seekers/