Pesquisadores da Lookout descobriram cerca de 300 aplicativos para Android e iOS que enganam as vítimas em termos de empréstimo injustos, exfiltram dados excessivos de usuários de dispositivos móveis e os usam para pressionar e envergonhar as vítimas pelo pagamento.
Destinado a consumidores em países em desenvolvimento – Colômbia, Índia, Indonésia, Quênia, México, Nigéria, Filipinas, Tailândia e Uganda – os aplicativos e seus operadores estão aproveitando a incapacidade das vítimas de se qualificar para um empréstimo tradicional.
Aplicativos de empréstimo para Android e iOS que levam ao assédio
Os aplicativos “supostamente oferecem aprovações de empréstimos rápidas e totalmente digitais com termos de empréstimo razoáveis. Na realidade, eles exploram o desejo das vítimas por dinheiro rápido para envolver os tomadores de empréstimo em contratos de empréstimo predatórios e exigem que eles concedam acesso a informações confidenciais, como contatos e mensagens SMS”, explicaram Ruohan Xiong, Rono Dasgupta e Alina Mambo, pesquisadores da Lookout .
“Vários usuários relataram que seus empréstimos vêm com taxas ocultas, altas taxas de juros e condições de pagamento muito menos favoráveis do que as publicadas nas lojas de aplicativos. Também encontramos evidências de que os dados exfiltrados dos dispositivos às vezes são usados para pressionar pelo reembolso, assediando os próprios clientes ou seus contatos”.
Depois de baixar um desses aplicativos, o usuário primeiro é solicitado a compartilhar informações pessoais e financeiras – nome, endereço, histórico profissional, educação e informações bancárias – e, em seguida, realizar uma verificação de identidade com um vídeo selfie (ou seja, eles também fornecem uma imagem do seu bilhete de identidade).
Em seguida, os aplicativos pedem ao usuário para acessar seus contatos, fotos e mídia, e para fazer e gerenciar chamadas telefônicas e enviar e visualizar mensagens SMS.
“Uma vez que as informações da vítima são exfiltradas pelo aplicativo e o empréstimo é distribuído, o cobrador inicia ciclos de assédio. Às vezes, o operador de empréstimo esperava até que o prazo de pagamento terminasse, mas vimos muitas reclamações indicando que o assédio ocorre antes do pagamento ser exigido”, observaram os pesquisadores.
“É aqui que entram as informações de contato exfiltradas, onde qualquer pessoa, incluindo aquelas que a vítima não incluiu em seu pedido de empréstimo, seria contatada. Uma tática comum é divulgar ou ameaçar divulgar a dívida de um mutuário ou outras informações pessoais para suas redes de contatos, que geralmente incluem familiares ou amigos”.
Encontrado em lojas de aplicativos oficiais
Os pesquisadores encontraram quase 300 desses aplicativos: 251 na Google Play Store (com mais de 15 milhões de downloads coletivos!) e 35 na Apple App Store.
Embora ambas as lojas de aplicativos aceitem aplicativos de empréstimo pessoal, a forma como os operadores desses aplicativos gerenciam o “negócio” os faz entrar em conflito com as diretrizes das lojas. Tanto a Apple quanto o Google já removeram os aplicativos de suas lojas.
Embora as análises da loja de aplicativos deixadas pelas vítimas devessem ter impedido outras pessoas de usar esses aplicativos, é provável que muitos estivessem desesperados demais para atender ao aviso ou recusar o pedido de permissões muito amplas dos aplicativos. (Se o usuário se recusar a conceder as permissões, os aplicativos não permitirão que ele continue.)
“Com base nas baixas pontuações da maioria dos aplicativos, os operadores de empréstimo não parecem ter medo de serem pegos e acham que a reputação dos aplicativos individuais é descartável. Isso pode ser parcialmente resultado de regulamentações financeiras mais flexíveis ou falta de fiscalização”, concluíram os pesquisadores.
FONTE: HELPNET SECURITY