ESETは12月5日(現地時間)、「Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths」において、不正なAndroid向け融資アプリが増加しているとして、注意を。これらアプリは合法的に融資するサービスを装い、迅速かつ簡単に資金を得られることを約束するという。

  • Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths

    Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths

これら融資アプリはインストールすると被害者の個人情報や財務情報を窃取する。そして、高金利の融資を行い利益を得ると同時に、窃取した情報を悪用して被害者を脅迫する。時には融資をせずに脅迫だけ行い利益を得ようとすることもあるとのことだ。ESETはこれら悪質な融資アプリを「SpyLoan」と命名している。

ESETはこれらSpyLoanアプリが2023年はじめ頃から目に見えて増加しているとして注意を呼びかけている。主に東南アジア、アフリカ、ラテンアメリカを中心に展開しているとみられている。これらの地域の国々にも融資を管理する法律は存在するが、その実効性についてはわかっていない。少なくとも現時点では米国、ヨーロッパ諸国、カナダなどでは活発なキャンペーンは確認できないとしている。

  • SpyLoanアプリの検出数の推移 - 提供:ESET

    SpyLoanアプリの検出数の推移  引用:ESET

ESETは2023年の実績としてこれまでにGoogle Play公式ストア上で18個のSpyLoanアプリを特定し、Googleに通報している。その結果、17個のSpyLoanアプリが削除され、残り1つも開発者によって権限と機能が変更されSpyLoanの分類から外れたという。これらアプリは削除されるまでに合計で1,200万回以上ダウンロードされたとみられている。

ESETの分析によると、これらSpyLoanアプリは同じコードを基礎としているため、どのアプリをどこから入手しても同様に動作するという。SpyLoanアプリをインストールすると利用規約への同意とデバイスに保存されている機密情報にアクセスするための広範囲の権限が求められる。次にアカウント登録が行われるが、このとき被害者の電話番号に基づいて国コードが選択され、標的となる国の電話番号を使用している個人のみがアカウントを作成することが可能。アカウント登録を完了したのち融資を申し込むと、住所、連絡先、収入を証明する書類、銀行口座、身分証明書の表裏、自撮り写真などの個人情報の提出が求められる。

  • 個人情報の提供を求める画面 - 提供:ESET

    個人情報の提供を求める画面 引用:ESET

これらSpyLoanアプリをインストールして個人情報が窃取された場合、融資を申請したかどうかにかかわらず脅迫が行われ、支払いを強要される可能性があるとのこと。これらSpyLoanアプリのユーザーレビューには、本人または知人への危害行為を匂わせるといった脅迫が行われたというコメントがみられる。

また、融資が行われたとしても金利を含めた総支払額は年換算で160%~340%と高額で、それ以上を設定しているアプリも確認されている。さらに、支払い期限も短い傾向にあり、5日で「120%の利息」を含めた全額の返済を求められた例もあるとされる。

ESETはこれらSpyLoanアプリは技術的にGoogle Playのプライバシポリシを満たしているが、銀行の本人確認基準を明らかに超えているとして非難している。このような悪質なアプリから身を守るためには、アプリを利用する上で必要な権限について理解し、過剰な権限を与えていないか注意することが重要とされる。