Lookout ha detectado más de 280 ransomware en Google Play Store y App Store. En estas aplicaciones, los usuarios podían pedir un préstamo, pero en realidad, las aplicaciones recopilaban datos personales de los teléfonos de las víctimas y luego cambiaban las tasas de interés y chantajeaban a los prestatarios.
Los analistas dicen que encontraron 251 solicitudes de préstamo para Android y 35 para iOS en las tiendas oficiales. En total, se han descargado unas 15 millones de veces y se dirigen principalmente a usuarios de India, Colombia, México, Nigeria, Tailandia, Filipinas y Uganda. Cabe señalar que tales solicitudes de préstamo han tenido mucho éxito en los países en desarrollo, donde las personas tienen recursos financieros limitados y es poco probable que se noten los informes de fraude.
Cuando se instalaban, estas aplicaciones solicitaban a los usuarios una gran cantidad de permisos peligrosos, lo que permitía a los atacantes obtener acceso total a la información confidencial del dispositivo de la víctima, incluida la lista de contactos, el contenido de los mensajes SMS, fotos, multimedia, etc.
Una vez que se obtuvieron los permisos requeridos, las aplicaciones descargarían estos datos confidenciales del dispositivo de la víctima a sus propios servidores. Si el usuario no proporcionaba a los estafadores los permisos necesarios, no podía enviar una solicitud de préstamo.
En el primer lanzamiento, también se le pedía al usuario que completara un formulario KYC ( Conozca a su cliente ), donde se le solicitaba una foto de una cédula de identidad, números de documentos, etc.
Según los investigadores, después de eso, las aplicaciones mostraban a las víctimas condiciones de préstamo engañosas o absolutamente falsas, convenciendo de cualquier manera al usuario para que continuara. Como resultado, cuando una persona ya recibió parte de su préstamo, la tasa de interés cambió repentinamente o surgieron tarifas previamente ocultas, que a veces ascienden a más de un tercio del monto total del préstamo.
Algunos de los afectados también informaron que las aplicaciones acortaron inesperadamente el período de pago del préstamo de los 180 días prometidos a solo 8 días, mientras cobraban enormes intereses y multas en caso de demora.
Dado que la mayoría de las víctimas no estaban preparadas para cambios tan drásticos en las condiciones, no pudieron o se negaron a pagar sus préstamos. Después de eso, los operadores de la aplicación comenzaron a chantajearlos y acosarlos utilizando los datos robados en la primera etapa del ataque, por ejemplo, contactando a personas de la lista de contactos, informando a familiares y amigos sobre la deuda.
Algunos usuarios dicen que los estafadores incluso enviaron imágenes editadas robadas de sus dispositivos a varios contactos, lo que terminó causando un gran problema.
Hay que decir que Apple y Google permiten apps de microcrédito en sus tiendas oficiales, pero las empresas tienen reglas estrictas que rigen su funcionamiento. Así, el plazo mínimo de devolución del préstamo debe ser de 60 días, y la tasa de interés anual máxima se limita al 36%.
Las aplicaciones descubiertas por los investigadores afirmaron seguir estas recomendaciones, pero en la práctica no las siguieron en absoluto, por lo que actualmente todas están eliminadas de Google Play Store y App Store.