网络安全研究人员在Google Play Store上发现了18个Android恶意贷款应用程序，这些应用程序被集体下载超过1200万次。

ESET表示：“尽管这些服务看起来很吸引人，但实际上它们的目的是通过向用户提供带有欺骗性描述的高息贷款来欺诈用户，同时收集受害者的个人和财务信息来敲诈他们，并最终获得他们的资金。”

这家斯洛伐克网络安全公司正在以SpyLoan的名义追踪这些应用程序，并指出它们的目标客户是东南亚、非洲和拉丁美洲的潜在借款人。

应用程序的列表，现在已经被谷歌撤下，如下所示————

• AA信贷:即时贷款应用程序（com.a.信贷.android）
• 爱现金:无抵押贷款(com.amorcash.credito.prestamo)
• 黄金贷款-快速现金（com.app.lo.go）
• 卡什沃（com.cashwow.cow.eg）
• CreditBus信用贷款(com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash)
• 贷款有信心-快速贷款（com.flashloan.wsft）
• 贷款信用-GuayabaCash(com.guayaba.cash.okredito.mx.tala)
• 信用贷款-YumiCash(com.loan.cash.credit.tala.prestmo.fast.branch.mextamo)
• Go信用-可信度（com.mlo.xango）
• 即时借贷（com.mmp.Optima）
• 大型钱包（com.mxolp.postloan）
• 快速信贷（com.okey.prestamo）
• 芬乐贷（com.shuiyiwenhua.gl）
• 4S Cash（com.swefjjghs.weejtop）
• True Naira—在线贷款(com.truenaira.cashloan.moneycredit)
• Easy Cash（king.credit.ng）
• 安全贷款-方便（com.sc.safe.credit）

短信和社交媒体渠道，如Twitter,Facebook和YouTube作为突出的感染途径，虽然应用程序也可以从诈骗网站和第三方应用程序商店下载。

ESET安全研究员Lukátefan ko说：“这些服务都不提供通过网站申请贷款的选项，因为勒索者无法通过浏览器访问存储在智能手机上的所有敏感用户数据，这些数据是进行勒索所需的。”

这些应用程序是一个更广泛的计划的一部分，可以追溯到2020年，并增加了超过300个应用程序的Android和iOS的一部分，卡巴斯基，Lookout，而Zimperium在去年揭露了“受害者对快速现金的渴望，诱使借款者签订掠夺性贷款合同，并要求他们允许获取敏感信息，如联系人和短信”。

除了从被感染的设备中获取信息，SpyLoan的运营商还被观察到采取勒索和骚扰手段，通过威胁在社交媒体平台上发布受害者的照片和视频来迫使受害者付款。

今年2月初，在《黑客新闻》（The Hacker News）发现并发布在Google Play帮助社区的一条消息中，一位来自尼日利亚的用户称EasyCash“以高利率欺诈性地向受害者提供贷款，并使用勒索、诽谤和人格暗杀的威胁强行让他们付款，而他们显然拥有债务人的地址和政府全名，包括他们的银行识别号（BVN）， 但他们仍然继续让人们难堪，使他们处于不必要的压力和恐慌之下。

此外，这些应用程序使用误导性的隐私政策来解释为什么他们需要对用户的媒体文件、相机、日历、联系人、通话记录和短信的权限。一些应用程序还包括指向虚假网站的链接，其中充斥着被盗的办公环境照片和库存图片，以使其运营蒙上一层合法的面纱。

为了降低此类间谍软件威胁带来的风险，建议坚持使用官方来源下载应用程序，验证此类产品的真实性，并在安装前密切关注评论和权限。

SpyLoan是“借款人在网上寻求金融服务时面临的风险的重要提醒，”Štefanko说。“这些恶意应用程序利用用户对合法贷款提供商的信任，使用复杂的技术来欺骗和窃取非常广泛的个人信息。

该开发还遵循名为 TrickMo 的 Android 银行木马的复兴，该木马伪装成一个免费的移动流媒体应用程序，并配备了升级的功能，例如窃取屏幕内容、下载运行时模块和覆盖注入以从目标应用程序中提取凭据，此外还利用 JsonPacker 隐藏其恶意代码。

“恶意软件向覆盖攻击的过渡，它使用 JsonPacker 进行代码混淆，以及它与命令和控制服务器的一致行为，突出了威胁行为者对 ref 的奉献精神。