自2023年初以来，ESET研究人员发现欺诈性的Android贷款应用程序出现了惊人的增长，这些应用程序将自身标榜为合法的个人贷款服务，并承诺会快速便捷地发放资金。

尽管这些服务看起来十分诱人，但实际上它们的目的是通过向用户提供带有欺骗性描述的高利率贷款来欺骗用户，同时收集受害者的个人和财务信息来勒索他们，最终获取他们的资金。ESET将此类应用命名为“SpyLoan”，意指其结合了间谍软件与贷款索赔功能。

要点

• ESET研究人员分析的应用程序要求用户提供各种敏感信息，并将其泄露到攻击者控制的服务器上。
• 然后，这些数据被用来骚扰和勒索这些应用程序的用户，即便他们并没有获得贷款。
• ESET遥测数据显示，自2023年初以来，这些应用在非官方第三方应用商店、Google Play和网站上出现了明显增长趋势。
• 恶意贷款应用主要针对东南亚、非洲和拉丁美洲的潜在借贷人。
• 所有这些服务都只能通过移动应用程序运行，因为攻击者无法通过浏览器访问存储在受害者智能手机上的所有敏感用户数据。

【图1：SpyLoan检测趋势】

概述

ESET是应用防御联盟（App Defense Alliance）的成员，也是恶意软件缓解计划——该计划旨在快速发现潜在有害应用程序（PHA），并在其进入Google Play之前阻止它们——的积极合作伙伴。

所有在这篇博文中描述的SpyLoan应用程序以及在IoCs部分提到的应用程序，都是通过社交媒体和短信进行宣传的，并且可以从专门的诈骗网站和第三方应用程序商店下载。所有这些应用都可以在Google Play上找到。

作为谷歌应用程序防御联盟的合作伙伴，ESET发现了18款SpyLoan应用程序，并向谷歌报告了这些应用程序，谷歌随后从其平台上删除了其中17款应用程序。但在被下架之前，这些应用在Google Play上的总下载量已超1200万次。ESET确定的最后一个应用程序仍然在Google Play上可用，不过，由于其开发人员更改了其权限和功能，它已不再属于SpyLoan应用程序。

重要的是要注意，一个特定的SpyLoan应用程序的每个实例（无论其来源）行为都相同，由于其具有相同的底层代码。简单地说，如果用户下载了一个特定的应用程序，那么无论他们是从何处获得的该应用程序，他们都将体验到相同的功能，并面临相同的风险。无论下载来自可疑网站还是第三方应用商店，甚至是Google Play，该应用程序的行为在所有情况下都是相同的。

这些服务都不提供通过网站申请贷款的选项，因为通过浏览器，勒索者无法访问存储在智能手机上的所有敏感用户数据，而这些数据是勒索所必需的。

在这篇博文中，研究人员将描述SpyLoan应用的机制，以及它们用于绕过Google Play政策并误导和欺骗用户的各种欺骗技术。同时，研究人员还分享了受害者在上当受骗后可以采取的措施，以及用于区分恶意和合法贷款应用程序的建议，以帮助潜在借贷人更好地保护自己。

受害者研究

根据ESET遥测数据显示，这些应用程序的执行者主要在墨西哥、印度尼西亚、泰国、越南、印度、巴基斯坦、哥伦比亚、秘鲁、菲律宾、埃及、肯尼亚、尼日利亚和新加坡（见图2）。所有这些国家都有不同的法律来管理私人贷款——不仅是利率，还有沟通透明度；然而，这种欺诈性贷款活动仍然执行得十分成功。

在撰写本文时，尚未发现针对欧洲国家、美国或加拿大的活跃活动。

【图2：2023年1月1日至11月30日在ESET遥测中看到的SpyLoan检测热图】

技术分析

初始访问

ESET研究团队将SpyLoan计划的起源追溯到2020年。当时，这些应用程序只展示了孤立的案例，并未引起研究人员的注意。之后，这种恶意贷款应用程序开始不断增加，最终，研究人员在Google Play、Apple App Store和专门的诈骗网站上发现了它们。图3和图4显示了一个此类示例的屏幕截图。这种多平台方法最大限度地扩大了它们的覆盖范围，增加了用户粘性，尽管这些应用后来被从两个官方应用商店下架。

【图3：2020年iOS（左）和Android（右）官方商店中可用的应用程序】

【图4：专门的诈骗网站】

2022年初，ESET向Google Play通报了20多个恶意贷款应用程序，这些应用程序的总下载量超过900万次。最终，该公司从其平台上删除了这些应用程序。之后，安全公司Lookout又发现，Google Play上的251款安卓应用和苹果应用商店上的35款iOS应用存在掠夺性行为。根据Lookout的说法，他们一直在与谷歌和苹果就被识别的应用程序进行沟通，并于2022年11月发表了一篇关于这些应用程序的博客文章。在Lookout发布研究报告之前，谷歌已经发现并下架了大多数恶意贷款应用，其中两款已被发现的应用也被开发商从Google Play下架，这些应用在Google Play上的总下载量超过1500万次；苹果也下架了被识别的应用程序。

根据ESET遥测数据显示，SpyLoan检测在2023年1月开始再次上升，此后在非官方第三方应用商店、Google Play和网站上继续增长。

在2022年的安全总结中，谷歌描述了该公司如何通过在几个地区推出对个人贷款应用程序的新要求来保护Android和Google Play用户的安全。如文件所示，在过去的三年里，情况发生了变化，Google Play对其个人贷款应用程序政策进行了多次调整——在印度、印度尼西亚、菲律宾、尼日利亚、肯尼亚、巴基斯坦和泰国制定了具体的国家要求——并下架了许多恶意贷款应用程序。

为了引诱受害者，犯罪分子开始通过短信和流行的社交媒体渠道（如Twitter、Facebook和YouTube）积极推广这些恶意应用程序，试图利用这一庞大的用户群来吸引需要经济援助的毫无戒心的受害者。

另一个令人担忧的现实是，一些SpyLoan应用程序通过滥用合法实体的名称和品牌来冒充信誉良好的贷款提供商和金融服务。为了帮助提高潜在受害者的意识，一些合法的金融服务甚至在社交媒体上警告SpyLoan应用程序，如图5所示。

【图5：RapiCredit警告潜在借款人注意恶意贷款应用程序】

工具集

一旦用户安装了SpyLoan应用程序，他们就会被提示接受服务条款，并授予访问存储在设备上的敏感数据的广泛权限。随后，该应用程序要求用户注册，通常通过短信一次性密码验证来验证受害者的电话号码。

这些注册表单根据受害者电话号码中的国家代码自动选择国家代码，确保只有在目标国家注册了电话号码的个人才能创建帐户，如图6所示。

【图6：电话号码注册预选的国家代码】

在电话号码验证成功后，用户可以访问应用程序中的贷款申请功能。为了完成贷款申请流程，用户必须提供大量的个人信息，包括地址详细信息、联系信息、收入证明、银行账户信息，甚至还要上传证件正面和背面的照片，以及自拍照，如图7所示。

【图7：应用程序向用户请求敏感数据】

SpyLoan应用程序通过偷偷地从毫无戒心的用户那里提取广泛的个人信息来构成重大威胁——这些应用程序能够将敏感数据发送到他们的命令和控制（C&C）服务器。被泄露的数据通常包括账户列表、通话记录、日历事件、设备信息、已安装应用程序列表、本地Wi-Fi网络信息，甚至是设备上的文件信息（比如来自图像的Exif元数据，但实际上并没有发送照片本身）。此外，联系人列表、位置数据和短信也很容易受到攻击。为了保护他们的活动，犯罪者在将所有被盗数据传输到C&C服务器之前还对其进行了加密处理。

随着SpyLoan应用程序的发展，它们的恶意代码变得越来越复杂。在早期版本中，恶意软件的有害功能没有被隐藏或保护；然而，后来的版本合并了一些更高级的技术，如代码混淆、加密字符串和加密C&C通信，以隐藏他们的恶意活动。想要更详细地了解这些改进，请参见图8和图9。

【图8：在早期的SpyLoan版本中负责数据泄露的代码】

【图9：在最近的SpyLoan版本中负责数据泄露的稍微混淆的代码】

2023年5月31日，Google Play上的贷款应用开始适用额外的政策，禁止此类应用请求访问敏感数据（如图像、视频、联系人、电话号码、位置和外部存储数据）的许可。更新后的策略似乎不会立即对现有应用产生影响，因为研究报告的大多数应用在策略开始应用后仍然可以在平台上使用（包括它们的广泛权限），如图10所示。然而，正如研究人员提到的，谷歌后来取消了这些应用程序。

【图10：SpyLoan应用程序从用户请求的广泛权限的例子】

后续活动

在安装了这样的应用程序并收集了个人数据之后，应用程序的执行人员开始骚扰和勒索受害者，迫使他们付款，即使用户没有申请贷款或申请了但贷款未获批准。这些做法在Facebook和Google Play上对这些应用的评论中都有描述，如下图所示。

【图11：这些应用程序的评测者声称受到了骚扰和威胁，其中一些人甚至没有收到贷款】

【图12：一名受害者收到威胁信息，然后发布在Facebook上】

【图13：这些评论者声称，他们要么没有申请贷款，但仍被勒索和威胁，要么没有获得贷款，但应用程序要求还款】

除了数据收集和勒索之外，这些服务还呈现出一种现代数字高利贷的形式，指的是对贷款收取过高的利率，利用有紧急金融需求的弱势个人或无法进入主流金融机构的借款人。一位用户对SpyLoan应用给出了差评（如图14所示），不是因为它骚扰他，而是因为他申请贷款已经四天了，但什么都没有发生，他急需钱去买药。

【图14：审查延迟批准他的贷款申请】

高利贷通常被认为是不道德的，因此受到法律的管制，以保护借款人免受这种掠夺性行为的侵害。然而，重要的是要注意，如果利息设定在合理的利率并遵循法律准则，则标准贷款协议不被视为高利贷。

快速增长背后的原因

SpyLoan应用程序的快速增长背后有几个原因。一是这些应用程序的开发者从成功的FinTech（金融技术）服务中获得灵感，这些服务利用技术提供简化和用户友好的金融服务。众所周知，金融科技应用和平台通过在可访问性方面提供便利来颠覆传统金融行业，允许人们以用户友好的方式随时随地使用智能手机进行各种金融活动。相比之下，SpyLoan应用程序唯一破坏的是对技术、金融机构和类似实体的信任。

他们增长的另一个原因是恶意行为正在积极利用Flutter框架来开发恶意贷款应用程序。Flutter是一个开源软件开发工具包（SDK），旨在构建跨平台应用程序，可以在各种平台（如Android、iOS、web和Windows）上运行。自2018年12月推出以来，Flutter在促进新移动应用程序的开发和推动其进入市场方面发挥了重要作用。

虽然只有应用程序开发者才能确定他们是否使用了Flutter来编程他们的应用程序或部分应用程序，但在ESET研究人员报告给谷歌的17个应用程序中，有3个包含了Flutter特定的库或.dart扩展，后者指的是Flutter的Dart编程语言。这表明至少有一些攻击者正在使用良性的第三方工具来促进其恶意应用程序的开发。

欺骗性的沟通技巧

恶意贷款应用通常使用与合法贷款应用非常相似的措辞和设计元素。这种刻意的相似性使得普通用户很难判断应用的真实性，特别是当涉及到财务和法律条款时。这些应用程序部署的欺骗性通信一般分为多个层级。

官方Google Play描述

为了能够进入Google Play并在该平台上发行，研究人员分析的所有SpyLoan应用所提供的描述不仅符合Google Play的要求，而且还符合当地的法律要求；一些应用程序甚至声称是注册的非银行金融公司。然而，从用户评论和其他报告中可以看出，这些应用程序的开发人员进行的实际交易和商业实践并没有达到他们明确声明的标准。

一般来说，SpyLoan应用程序会公开说明请求的权限，声称拥有正确的许可，并提供年利率的范围（这些一般都在当地高利贷法律或类似立法设定的法律限制内）。年利率（APR）描述并包括利率和某些费用，或与贷款相关的收费，如申请费、处理费或其他财务费用。在许多国家，它都有法律上限，例如，在美国的个人贷款提供商中，谷歌将年利率上限定为36%。

年度总成本（TAC；或CAT）超出了APR，不仅包括利率和费用，还包括其他成本，如保险费或与贷款相关的额外费用。因此，交谘会可为借款人提供更准确的估计贷款所需的总财务负担，包括所有相关费用。由于一些拉丁美洲国家要求贷款提供商披露TAC，在该地区销售的SpyLoan应用程序显示了其贷款的真实高成本，TAC在160%至340%之间，如图15所示。

【图15：应用程序称，最短的贷款期限为91天】

应用描述中还包括个人贷款的期限，期限由贷款提供商设定，根据谷歌的金融服务政策，期限不能设置为60天或更短。贷款期限是指借款人应向贷款人偿还借款及所有相关费用的期限。研究分析的应用的保留期在91天到360天之间（见图15）；然而，在Google Play上提供反馈的用户（见图16）抱怨称，用户的贷款期限明显变短了，而且利息很高。以下图反馈的第三个例子所示，利息（549比索）明显高于实际贷款（450比索），贷款连同利息（999比索）必须在5天内偿还，很明显违反了Google的贷款期限政策。

【图16：借款人抱怨称，他们的贷款期限只有7到5天】

隐私政策

因为这是由Google Play开发者政策强制执行的，并且符合KYC标准，所以想要在Google Play上投放应用的开发者必须提供有效且易于访问的隐私政策。该策略必须涵盖以下方面：收集的数据类型、如何使用数据、可能与谁共享数据、保护用户数据的安全措施，以及用户如何行使对其数据的权利。这类似于要求数据使用和保护透明的KYC指南。数据收集的KYC要求通常包括收集个人信息，如全名、出生日期、地址、联系方式和政府颁发的证件号或文件。在金融服务上下文中，这可能还涉及收集有关就业状况、收入来源、信用记录和其他与评估信誉相关的信息的数据。

即使隐私政策是一份法律文件，它也可以以一种非常简单的方式自动生成——有许多免费的隐私政策生成器可以在应用程序开发人员插入基本数据（如应用程序名称、背后的公司和应用程序正在收集的数据）后生成这样的文件。这意味着创建一个对普通人来说看似真实的隐私政策非常简单。

与KYC规范形成鲜明对比的是，研究人员发现的SpyLoan应用程序在其隐私政策中使用了欺骗策略。他们声称需要访问媒体文件的权限“进行风险评估”，存储权限“帮助提交文件”，访问他们声称仅与金融交易相关的短信数据“以正确识别您”，访问日历“以安排相应的付款日期和相应的提醒”，访问相机权限“以帮助用户上传所需的照片数据”，以及通话记录权限“以确认我们的应用程序安装在您的手机上”。而实际上，根据KYC标准，身份验证和风险评估可以使用侵入性更小的数据收集方法来完成。

正如我们之前提到的，根据这些应用程序的隐私政策，如果这些权限没有授予应用程序，则不会提供服务，因此也不会提供贷款。事实上，这些应用程序不需要所有这些权限，因为所有这些数据都可以通过一次性权限上传到应用程序中，只能访问选定的图片和文档，而不是全部，日历请求可以通过电子邮件发送给贷款接受者，访问通话记录的权限是完全不必要的。

此外，一些隐私政策的措辞非常矛盾。他们一方面列出收集个人资料的虚假理由，另一方面声称没有收集敏感的个人资料，如图17所示。这违背了KYC标准，KYC标准要求对数据收集和使用进行诚实和透明的沟通，包括前面提到的特定类型的数据。

【图17：其中一项隐私政策中相互矛盾的声明】

研究人员认为，这些权限的真正目的是监视这些应用程序的用户，骚扰和勒索他们及其联系人。

另一项隐私政策显示，为埃及人提供贷款的应用程序由SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI运营。根据埃及投资和自由区总局的说法，在埃及没有这样的注册公司；相反地，研究人员在2021年1月印度尼西亚投资警报特别工作组警告的数十个非法点对点借贷平台名单上发现了它。

总之，虽然这些SpyLoan应用程序在技术上符合隐私政策的要求，但他们的做法显然超出了提供金融服务和遵守KYC银行标准所需的数据收集范围。根据KYC的规定，合法的贷款应用程序只会要求必要的个人数据来验证身份和信誉，而不会要求访问媒体文件或日历条目等无关数据。总的来说，用户必须了解自己的权利，并对他们授予任何应用的权限保持谨慎。这包括了解KYC银行法规设定的标准，这些标准不仅旨在保护金融机构免受欺诈和其他非法活动的侵害，而且还旨在保护用户的个人数据和金融交易。

网站

其中一些应用有官方网站，让人误以为它是一家成熟的、以客户为中心的个人贷款提供商，其中包含指向Google Play的链接，以及其他大多数通用和简单的信息，这些信息与开发者在应用被下架前在Google Play上提供的描述类似。他们通常不会透露应用背后的业务名称。然而，研究分析的其中一个网站更为先进，甚至包含了招聘职位的详细信息，舒适的办公环境的图片，以及董事会的图片，而事实上，所有这些都是从其他网站上盗来的。

空缺的职位都是从其他公司复制过来的，只做了一些小的修改。在从印度招聘平台Instahyre复制的广告中（如图18所示），只有“对Ameyo有很好的了解”这一行被移动到文本中的不同位置。

【图18：其中一个恶意贷款提供商的职位（左）和Instahyre上发布的职位（右）的比较】

下图所示的三张办公环境的图片是从两家公司复制的——办公室和运动场的照片来自PaywithRing，一个拥有数百万客户的印度支付应用程序，团队照片来自印度数字媒体平台the Better India。

【图19：从其他公司网站窃取的办公环境照片】

董事会成员对应的名字与声称开发这个特定应用程序的公司有关，但网站上使用的图片（如图20所示）来自三种不同的库存照片模型。

【图20：展示董事会的照片是经过验证的库存照片，第一张来自Freepik，第二张来自其他几个网站，第三张可以从Getty Images购买】

虽然在桌面浏览器中很容易在谷歌上进行反向图像搜索以查找这些图片的来源，但重要的是要注意，在手机上这样做要困难得多。正如我们之前提到的，这些应用程序的提供商只关注那些想要使用手机获得贷款的潜在借款人。

合法与恶意贷款应用程序：区分技巧

正如在欺骗性通信技术部分所提到的，即使应用程序或其背后的公司声称自己是经批准的贷款提供商，这也不能以此确保其合法性或道德行为——它仍然可以通过使用欺骗性策略和有关贷款条款的误导性信息来欺骗潜在客户。正如Lookout所提到的，向成熟机构申请贷款似乎是潜在借款人的最佳建议，但SpyLoan应用程序很难将它们与标准的金融机构区分开来，而且一些借款人无法访问传统的金融实体。因此，必须谨慎对待贷款应用程序，并采取额外措施确保其可信度，因为它们的安装可能会对借款人的财务状况产生非常负面的影响。

坚持官方消息来源并使用安全应用程序足以防范恶意贷款应用程序；不过，用户还可以采取其他措施来进一步保护自己：

1. 坚持官方消息来源

Android用户应避免安装来自非官方来源和第三方应用商店的借贷应用，而应坚持使用Google Play等可靠平台，这些平台有应用审查流程和安全措施。虽然这并不能保证完全的保护，但它降低了遇到诈骗贷款应用的风险。

2. 使用安全应用

一个可靠的Android安全应用程序可以保护其用户免受恶意贷款应用程序和恶意软件。安全应用程序通过扫描和识别潜在的有害应用程序，检测恶意软件，并警告用户可疑活动，提供额外的保护层。在这篇博文中提到的恶意贷款应用程序被ESET产品检测为Android/SpyLoan、Android/Spy.KreditSpy或Android/Spy.Agent的变体。

3. 审查用户评论

当从Google Play下载应用时，一定要密切关注用户评论（这些评论可能不会出现在非官方商店中）。重要的是要意识到，正面评价可能是伪造的，甚至可以从以前的受害者那里威胁而来，以增加诈骗应用的可信度。相反地，借款人应该关注负面评论，并仔细评估用户提出的担忧，因为它们可能会泄露重要信息，如勒索策略和贷款提供商收取的实际成本。

4. 审查隐私政策及请求权限

在安装贷款应用程序之前，用户应该花时间阅读其隐私政策（如果有的话）。该文档通常包含有关应用程序如何访问和存储敏感信息的有价值的信息。然而，诈骗者可能会使用欺骗性条款或含糊的语言来诱骗用户授予不必要的权限或共享个人数据。在安装过程中，重要的是要注意应用程序请求访问的数据，并质疑所请求的数据是否对贷款应用程序的功能是必要的，例如联系人、消息、照片、文件和日历事件。

5. 如果预防不起作用

如果已经沦为数字高利贷的受害者也可以通过几种途径寻求帮助并采取行动。受害者应向本国执法部门或相关法律当局报告这一事件，联系消费者保护机构，并提醒管理私人贷款条款的机构；在大多数国家，它是国家银行或其同等机构。这些机构收到的警告越多，它们采取行动的可能性就越大。如果欺诈性贷款应用程序是通过Google Play获得的，个人可以向Google Play支持部门寻求帮助，报告该应用程序，并要求删除与之相关的个人数据。然而，重要的是要注意，数据可能已经被提取到攻击者的C&C服务器。

结语

即使在经历多次下架之后，SpyLoan应用程序仍能在Google Play上找到新的路径，这提醒我们在网上寻求金融服务时所面临的巨大风险。这些恶意应用程序正利用用户对合法贷款提供商的信任，使用复杂的技术来欺骗和窃取非常广泛的个人信息。

对于个人来说，谨慎行事、验证任何金融应用或服务的真实性、依赖可信来源是至关重要的。通过保持了解和警惕，用户可以更好地保护自身免受此类欺诈活动的伤害。

原文链接：

https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/