個人情報を盗む悪徳ローンアプリ「SpyLoan」がGoogle Playで1200万回以上ダウンロードされているとセキュリティ企業のESETが指摘

Androidの公式アプリストアであるGoogle Playで2023年になって1200万回以上ダウンロードされている悪意のあるローンアプリ「SpyLoan」の存在を、セキュリティ企業のESETが指摘しています。ESETによるとSpyLoanはGoogle Playだけでなくサードパーティーアプリストアやウェブサイト上でも配布されているため、実際のダウンロード数はさらに多くなるとみられます。

Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths
https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/

SpyLoan Android malware on Google Play downloaded 12 million times
https://www.bleepingcomputer.com/news/security/spyloan-android-malware-on-google-play-downloaded-12-million-times/

SpyLoanはインストールされたAndroid端末のすべてのアカウントリスト、デバイス情報、通話記録、インストールされているアプリ、カレンダー上のイベント、ローカルWi-Fiネットワークの詳細、画像のメタデータなどの個人情報をデバイスから盗み出します。ESETのセキュリティ研究者によると、データ漏えいのリスクは連絡先・位置情報・テキストメッセージにまでおよぶと危惧しました。

SpyLoanは「資金への迅速かつ簡単なアクセス」を約束する個人ローン向けの合法的な金融サービスを装ったローンアプリです。しかし、実際にはユーザーをだまして高利の支払いを受け入れさせ、その後、脅威アクターは被害者を脅迫してお金の支払いを強要する模様。

Google Playからマルウェアを撲滅することを目的としたApp Defense AllianceのメンバーであるESETは、2023年初頭以降、実に18種類以上のSpyLoanを発見してきたと報告しています。GoogleはESETの報告に対応し、これまで17種類のSpyLoanを削除してきましたが、ひとつは異なる権限と機能セットに生まれ変わることでSpyLoanとして検出されなくなったそうです。

2020年にApp StoreおよびGoogle Playで入手可能だったSpyLoanのひとつが以下。Google Playでは500万回以上ダウンロードされており、アプリの評価も星4.7と非常に高評価です。

SpyLoanが初めて確認されたのは2020年のことですが、実際に広く普及するようになったのは2022年頃からだそうです。ESETによると、SpyLoanは詐欺的ウェブサイトやサードパーティーアプリストア、Google Play上で配布されている模様。ESETのデータによると、SpyLoanの検出数は2023年を通じて増加しています。

以下の地図はSpyLoanがターゲットに国を色付けしたもので、特にメキシコ、インド、タイ、インドネシア、ナイジェリア、フィリピン、エジプト、ベトナム、シンガポール、ケニア、コロンビア、ペルーなどで活発に活動を行っているのに対して、記事作成時点ではヨーロッパ、アメリカ、カナダ、日本といった国と地域では活動が確認されていません。

SpyLoanはGoogle Playで配布されるために、Googleのプライバシーポリシーに準拠したふりをします。多くの場合、SpyLoanは正規の企業サイトを模倣したウェブサイトを作成し、偽の信頼性を演出するための従業員やオフィスの写真を捏造するそうです。

SpyLoanアプリのひとつが用意していた形だけのウェブサイト

SpyLoanは個人ローンの期間を一方的に短縮し、ユーザーが従わない場合は嘲笑や暴露といった方法で脅迫するそうです。そのため、Googleの金融サービスポリシーに明確に違反しているとESETは指摘しています。また、SpyLoanのプライバシーポリシーの内容は欺まん的で、危険な許可を取得するために「一見正当そうな理由を提示している」とのことです。

例えば、顧客情報の確認のために写真のアップロードを求めるついでにカメラアプリへのアクセス権限を求めたり、支払日をリマインダーするためにカレンダーアプリへのアクセス権限を求めたりしますが、これは非常に煩わしいとESETは指摘しています。

さらに、SpyLoanは通話記録や連絡先へのアクセスなど、全く必要のない権限を要求するケースもあるそうです。これらの権限はユーザーが不当な支払い要求を突っぱねた際の恐喝に利用されるそうです。以下のスクリーンショットは実際にSpyLoanを利用していたユーザーが受け取った恐喝メッセージ。

SpyLoanについて、ESETは「SpyLoanアプリは技術的にはGoogleのプライバシーポリシー要件を満たしていますが、実際に行っていることは金融サービスの提供とKYC銀行基準の順守に必要なデータ収集の範囲を明らかに超えています」「これらのアプリの本当の目的は、アプリユーザーをスパイし、ユーザーとその連絡先に嫌がらせや脅迫を行うことであると我々は考えています」と記しました。

SpyLoanの脅威から身を守るための最善の方法は、適切な金融機関のみを信頼し、新しいアプリをインストールする際には要求される権限の種類を確認し、詐欺的アプリが多く存在するGoogle Playからアプリをインストールする場合はユーザーレビューを細かくチェックすることであると、テクノロジーメディアのBleepingComputerはまとめています。