מאז תחילת 2023, חוקרי ESET הבחינו בגידול מדאיג של אפליקציות הלוואות אנדרואיד מטעות, המציגות את עצמן כשירותי הלוואות אישיות לגיטימיות, המבטיחות גישה מהירה וקלה לכספים.
למרות המראה האטרקטיבי שלהם, השירותים הללו נועדו למעשה להונות את המשתמשים בכך שהם מציעים להם הלוואות בריבית גבוהה עם תיאורים מטעים, כל זאת תוך איסוף מידע אישי ופיננסי של קורבנותיהם כדי לסחוט אותם, ובסופו של דבר להרוויח את כספיהם. לכן, מוצרי ESET מזהים את האפליקציות הללו באמצעות שם הזיהוי SpyLoan, המתייחס ישירות לפונקציונליות של תוכנות הריגול שלהם בשילוב עם תביעות הלוואות.
נקודות מפתח בפוסט בבלוג:
- אפליקציות שנותחו על ידי חוקרי ESET מבקשות מידע רגיש שונים מהמשתמשים שלהם ומסננים אותו לשרתי התוקפים.
- הנתונים האלה משמשים לאחר מכן להטרדה וסחיטה של משתמשים באפליקציות אלה, ולפי ביקורות משתמשים, גם אם לא ניתנה הלוואה.
- טלמטריית ESET מציגה צמיחה ניכרת באפליקציות הללו בחנויות אפליקציות לא רשמיות של צד שלישי, ב-Google Play ובאתרים מאז תחילת 2023.
- אפליקציות הלוואות זדוניות מתמקדות בלווים פוטנציאליים המבוססים בדרום מזרח אסיה, אפריקה ואמריקה הלטינית.
- כל השירותים הללו פועלים רק באמצעות אפליקציות סלולריות, שכן התוקפים אינם יכולים לגשת לכל נתוני המשתמש הרגישים המאוחסנים בסמארטפון של הקורבן דרך דפדפנים.
סקירה כללית
ESET חברה ב-App Defense Alliance ושותפה פעילה בתוכנית הפחתת תוכנות זדוניות, שמטרתה למצוא במהירות יישומים מזיקים (PHAs) ולעצור אותם לפני שהם יגיעו אי פעם ל-Google Play.
כל אפליקציות SpyLoan שמתוארות בפוסט זה בבלוג ומוזכרות בסעיף IoCs משווקות באמצעות מדיה חברתית ו הודעות SMS, וזמין להורדה מאתרי הונאה ייעודיים ומחנויות אפליקציות של צד שלישי. כל האפליקציות הללו היו זמינות גם ב-Google Play. כשותפה של Google App Defense Alliance, ESET זיהתה 18 אפליקציות SpyLoan ודיווחה עליהן ל-Google, אשר הסירה לאחר מכן 17 מהאפליקציות הללו מהפלטפורמה שלה. לפני הסרתן, לאפליקציות הללו היו בסך הכל יותר מ-12 מיליון הורדות מ-Google Play. האפליקציה האחרונה שזוהתה על ידי ESET עדיין זמינה ב-Google Play - עם זאת, מכיוון שהמפתחים שלה שינו את ההרשאות והפונקציונליות שלה, אנחנו כבר לא מזהים אותה כאפליקציית SpyLoan.
חשוב לציין שכל מופע של אפליקציית SpyLoan מסוימת, ללא קשר למקור שלה, מתנהג באופן זהה בשל הקוד הבסיסי הזהה שלה. במילים פשוטות, אם משתמשים יורידו אפליקציה ספציפית, הם יחוו את אותן פונקציות ויתמודדו עם אותם סיכונים, ללא קשר למקום שבו הם קיבלו את האפליקציה. לא משנה אם ההורדה הגיעה מאתר חשוד, מחנות אפליקציות של צד שלישי או אפילו מגוגל פליי – התנהגות האפליקציה תהיה זהה בכל המקרים.
אף אחד מהשירותים הללו לא מספק אפשרות לבקש הלוואה באמצעות אתר אינטרנט, שכן דרך דפדפן הסחטנים אינם יכולים לגשת לכל נתוני המשתמשים הרגישים המאוחסנים בסמארטפון ונדרשים לסחיטה.
בפוסט זה בבלוג, אנו מתארים את המנגנון של אפליקציות SpyLoan ואת הטכניקות השונות המטעות בהן הם משתמשים כדי לעקוף את מדיניות Google Play ולהטעות ולהונות משתמשים. אנו גם משתפים בצעדים שקורבנות יכולים לנקוט אם הם נפלו להונאה זו ומספר המלצות כיצד להבחין בין אפליקציות הלוואות זדוניות ללגיטימיות, כך שלווים פוטנציאליים יוכלו להגן על עצמם.
קורבנות
לפי הטלמטריה של ESET, האוכפים של אפליקציות אלה פועלים בעיקר במקסיקו, אינדונזיה, תאילנד, וייטנאם, הודו, פקיסטן, קולומביה, פרו, הפיליפינים, מצרים, קניה, ניגריה וסינגפור (ראה מפה באיור 2). לכל המדינות הללו יש חוקים שונים המסדירים הלוואות פרטיות - לא רק את התעריפים שלהן אלא גם שקיפות התקשורת שלהן; עם זאת, אנחנו לא יודעים באיזו הצלחה הם נאכפים. אנו מאמינים שכל זיהוי מחוץ למדינות אלו קשור לסמארטפונים שיש להם, מסיבות שונות, גישה למספר טלפון הרשום באחת ממדינות אלו.
בזמן כתיבת שורות אלה, לא ראינו מסע פרסום פעיל המכוון למדינות אירופה, ארה"ב או קנדה.
ניתוח טכני
גישה ראשונית
ESET Research עקבה אחר מקורותיה של ערכת SpyLoan עד 2020. באותה תקופה, אפליקציות כאלה הציגו רק מקרים בודדים שלא משכו את תשומת לבם של החוקרים; עם זאת, הנוכחות של אפליקציות הלוואות זדוניות המשיכה לגדול ובסופו של דבר, התחלנו לזהות אותן ב-Google Play, ב-Apple App Store, ובאתרי הונאה ייעודיים. צילומי מסך של דוגמה אחת כזו מוצגים באיור 3 ובאיור 4. גישה מרובת פלטפורמות זו מקסמה את טווח ההגעה שלהם והגדילה את הסיכויים למעורבות המשתמש, אם כי אפליקציות אלו הוסרו מאוחר יותר משתי חנויות האפליקציות הרשמיות.
בתחילת 2022, ESET פנתה ל-Google Play כדי להודיע לפלטפורמה על יותר מ-20 אפליקציות הלוואות זדוניות שהיו להן למעלה מ-9 מיליון הורדות קולקטיביות. לאחר התערבותנו, החברה מחקה את האפליקציות הללו מהפלטפורמה שלה. חברת האבטחה Lookout זיהתה 251 אפליקציות אנדרואיד ב-Google Play ו-35 אפליקציות iOS ב-Apple App Store שהפגינו התנהגות דורסנית. לפי Lookout, הם היו בקשר עם גוגל ואפל בנוגע לאפליקציות שזוהו ובנובמבר 2022 פרסמו פוסט בבלוג על האפליקציות הללו. גוגל כבר זיהתה והורידה את רוב אפליקציות ההלוואה הזדוניות לפני פרסום המחקר של Lookout, כאשר שתיים מהאפליקציות שזוהו הוסרו מ-Google Play על ידי המפתח. ביחד לאפליקציות האלה ב-Google Play היו יותר מ-15 מיליון הורדות; אפל גם הסירה את האפליקציות שזוהו.
על פי הטלמטריה של ESET, גילויי SpyLoan החלו לעלות שוב בינואר 2023 והמשיכו לצמוח מאז עוד יותר בחנויות אפליקציות לא רשמיות של צד שלישי, Google Play ואתרי אינטרנט; תיארנו את הצמיחה הזו ב- דוח איומים של ESET H1 2023.
שלהם סיכום אבטחה לשנת 2022, Google תיארה כיצד החברה שמרה על בטיחות משתמשי אנדרואיד ו-Google Play על ידי הפעלת דרישות חדשות עבור אפליקציות הלוואות אישיות במספר אזורים. כפי שתועד, במהלך שלוש השנים האחרונות, המצב התפתח ו-Google Play ביצעה מספר שינויים במדיניות אפליקציית ההלוואה האישית שלה - עם דרישות ספציפיות למדינה בהודו, אינדונזיה, הפיליפינים, ניגריה, קניה, פקיסטן ותאילנד - ויש לא פורסמו אפליקציות הלוואות זדוניות רבות.
כדי לפתות קורבנות, העבריינים מקדמים באופן פעיל את האפליקציות הזדוניות הללו באמצעות הודעות SMS ובערוצי מדיה חברתית פופולריים כמו טוויטר, פייסבוק ויוטיוב. על ידי מינוף בסיס המשתמשים העצום הזה, הרמאים שואפים למשוך קורבנות תמימים שזקוקים לסיוע פיננסי.
למרות שתכנית זו אינה מנוצלת בכל אפליקציית SpyLoan שניתחנו, היבט מדאיג נוסף של חלק מאפליקציות SpyLoan הוא ההתחזות לספקי הלוואות ושירותים פיננסיים מכובדים על ידי שימוש לרעה בשמות ובמיתוג של ישויות לגיטימיות. כדי לעזור להעלות את המודעות בקרב קורבנות פוטנציאליים, כמה שירותים פיננסיים לגיטימיים אפילו הזהירו מפני אפליקציות SpyLoan במדיה החברתית, כפי שניתן לראות באיור 5.
ערכת כלים
ברגע שמשתמש מתקין אפליקציית SpyLoan, הוא מתבקש לקבל את תנאי השירות ולהעניק הרשאות נרחבות לגישה לנתונים רגישים המאוחסנים במכשיר. לאחר מכן, האפליקציה מבקשת רישום משתמש, בדרך כלל מתבצעת באמצעות אימות סיסמה חד פעמי ב-SMS כדי לאמת את מספר הטלפון של הקורבן.
טפסי רישום אלה בוחרים אוטומטית את קוד המדינה בהתבסס על קוד המדינה ממספר הטלפון של הקורבן, ומבטיחים שרק אנשים עם מספרי טלפון הרשומים במדינת היעד יכולים ליצור חשבון, כפי שניתן לראות באיור 6.
לאחר אימות מספר טלפון מוצלח, משתמשים מקבלים גישה לתכונת בקשת ההלוואה בתוך האפליקציה. כדי להשלים את תהליך בקשת ההלוואה, המשתמשים נאלצים לספק מידע אישי נרחב, כולל פרטי כתובת, פרטי התקשרות, הוכחות הכנסה, פרטי חשבון בנק, ואפילו להעלות תמונות של הצד הקדמי והאחורי של תעודות הזהות שלהם, וסלפי. , כפי שמתואר באיור 7.
אפליקציות SpyLoan מהוות איום משמעותי על ידי חילוץ בגניבה של מגוון רחב של מידע אישי ממשתמשים תמימים – אפליקציות אלו מסוגלות לשלוח נתונים רגישים לשרתי הפיקוד והשליטה (C&C) שלהם. הנתונים המוחלפים בדרך כלל כוללים את רשימת החשבונות, יומני שיחות, אירועי לוח שנה, מידע על המכשיר, רשימות של אפליקציות מותקנות, מידע על רשת Wi-Fi מקומית, ואפילו מידע על קבצים במכשיר (כגון מטא נתונים של Exif מתמונות מבלי לשלוח את הצילומים עצמם). בנוסף, גם רשימות אנשי קשר, נתוני מיקום והודעות SMS פגיעות. כדי להגן על פעילותם, העבריינים מצפינים את כל הנתונים הגנובים לפני שידורם לשרת C&C.
ככל שיישומי SpyLoan התפתחו, הקוד הזדוני שלהם נעשה מתוחכם יותר. בגרסאות קודמות, הפונקציונליות המזיקה של התוכנה הזדונית לא הייתה מוסתרת או מוגנת; עם זאת, גרסאות מאוחרות יותר שילבו כמה טכניקות מתקדמות יותר כמו ערפול קוד, מחרוזות מוצפנות ותקשורת C&C מוצפנת כדי להסתיר את הפעילויות הזדוניות שלהם. להבנה מפורטת יותר של שיפורים אלה, עיין באיור 8 ואיור 9.
ב- 31 בחודש מאיst, 2023, מדיניות נוספת החל להגיש בקשה לאפליקציות הלוואה ב-Google Play, תוך ציון כי אסור לאפליקציות כאלה לבקש רשות לגשת לנתונים רגישים כגון תמונות, סרטונים, אנשי קשר, מספרי טלפון, מיקום ונתוני אחסון חיצוניים. נראה שלמדיניות המעודכנת הזו לא הייתה השפעה מיידית על אפליקציות קיימות, שכן רוב האפליקציות עליהן דיווחנו היו עדיין זמינות בפלטפורמה (כולל ההרשאות הרחבות שלהן) לאחר שהמדיניות החלה לחול, כפי שמתואר באיור 10. עם זאת, כפי שהזכרנו, Google ביטלה מאוחר יותר את פרסום האפליקציות הללו.
תוצאה
לאחר התקנת אפליקציה כזו ואיסוף נתונים אישיים, אוכפי האפליקציה מתחילים להטריד ולסחוט את קורבנותיהם לביצוע תשלומים, גם אם - על פי הביקורות - המשתמש לא הגיש בקשה להלוואה או הגיש בקשה אבל ההלוואה הייתה' לא אושר. פרקטיקות כאלה תוארו בסקירות של אפליקציות אלה בפייסבוק וב-Google Play, כפי שמוצג באיור 11 (אפילו מזכיר איומי מוות), איור 12 (תרגום מכונה חלקי: האם החוב שיש לך שווה את השקט הנפשי שלך ושל יקיריכם? ... האם אתה באמת רוצה לסכן את ביטחונך? ... האם אתה מוכן לשלם את ההשלכות? אתה יכול להיכנס להרבה בעיות, להימנע מחוויה רעה לעצמך ולסובבים אותך.), ואיור 13 .
מלבד איסוף הנתונים והסחיטה, השירותים הללו מציגים סוג של ריבית דיגיטלית מודרנית, המתייחסת לגביית ריבית מופרזת על הלוואות, ניצול של אנשים פגיעים עם צרכים פיננסיים דחופים, או לווים שיש להם גישה מוגבלת לפיננסים רגילים. מוסדות. משתמש אחד נתן ביקורת שלילית (מוצגת באיור 14) לאפליקציית SpyLoan לא בגלל שהיא מציקה לו, אלא בגלל שכבר עברו ארבעה ימים מאז שהגיש בקשה להלוואה, אבל שום דבר לא קרה והוא היה צריך כסף לתרופות.
ריבית נתפסת בדרך כלל כל כך לא אתית עד שהיא נידונה בטקסטים דתיים שונים ומוסדרת על ידי חוקים כדי להגן על הלווים מפני שיטות דורסניות כאלה. עם זאת, חשוב לציין כי הסכם הלוואה סטנדרטי אינו נחשב כריבית אם הריבית נקבעת בשיעור סביר ועוקבת אחר ההנחיות החוקיות.
הסיבות מאחורי הצמיחה המהירה
ישנן מספר סיבות מאחורי הצמיחה המהירה של אפליקציות SpyLoan. האחת היא שמפתחי האפליקציות הללו שואבים השראה משירותי FinTech (טכנולוגיה פיננסית) מצליחים, הממנפים את הטכנולוגיה כדי לספק שירותים פיננסיים יעילים וידידותיים למשתמש. אפליקציות ופלטפורמות פינטק ידועות כמשבשות את התעשייה הפיננסית המסורתית על ידי מתן נוחות מבחינת נגישות, המאפשרות לאנשים, בצורה ידידותית למשתמש, לבצע פעילויות פיננסיות שונות בכל זמן ובכל מקום, באמצעות הסמארטפונים שלהם בלבד. לעומת זאת, הדבר היחיד שאפליקציות SpyLoan משבשות הוא האמון בטכנולוגיה, במוסדות פיננסיים ובגופים דומים.
סיבה נוספת לצמיחתם צוינה ב הניתוח של זימפריום כיצד שחקנים זדוניים ניצלו את המסגרת של Flutter והשתמשו בה כדי לפתח אפליקציות הלוואות זדוניות. לְהִתְפַּרְפֵּר היא ערכת פיתוח תוכנה בקוד פתוח (SDK) המיועדת לבניית אפליקציות חוצות פלטפורמות שיכולות לפעול על פלטפורמות שונות כגון אנדרואיד, iOS, אינטרנט ו-Windows. מאז השקתה בדצמבר 2018, Flutter מילאה תפקיד משמעותי בהקלת הפיתוח של אפליקציות סלולריות חדשות והנעת הכנסתן לשוק.
בעוד שרק מפתחי אפליקציות יכולים לאשר בוודאות אם הם השתמשו ב-Flutter כדי לתכנת את האפליקציות שלהם או בחלקים מהם, מתוך 17 האפליקציות שדיווחנו לגוגל, שלוש מהן מכילות ספריות ספציפיות ל-Flutter או .חץ הרחבות, המתייחסות לשפת התכנות Dart של Flutter. זה מצביע על כך שלפחות חלק מהתוקפים משתמשים בכלים שפירים של צד שלישי כדי להקל על פיתוח האפליקציות הזדוניות שלהם.
טכניקות תקשורת מטעות
אפליקציות הלוואות זדוניות משתמשות לעתים קרובות בניסוח ובאלמנטים עיצוביים הדומים מאוד לאפליקציות הלוואות לגיטימיות. הדמיון המכוון הזה מקשה על משתמשים טיפוסיים לקבוע את האותנטיות של אפליקציה, במיוחד כאשר מדובר במונחים פיננסיים ומשפטיים. התקשורת המטעה שנפרסת על ידי אפליקציות אלה מחולקת למספר רבדים.
תיאור רשמי של Google Play
כדי שיוכלו לשים רגל בדלת של Google Play ולהתפרסם בפלטפורמה, כל האפליקציות של SpyLoan שניתחנו סיפקו תיאור שנראה ברובו כתואם לא רק עם דרישות Google Play אלא גם מכסה את החוק המקומי דרישות; כמה אפליקציות אפילו טענו שהן חברות פיננסיות חוץ בנקאיות רשומות. עם זאת, העסקאות והפרקטיקות העסקיות בשטח - כפי שהוכחו מביקורות משתמשים ודוחות אחרים - שבוצעו על ידי מפתחי האפליקציות הללו לא עמדו בסטנדרטים שצוינו במפורש על ידם.
באופן כללי, אפליקציות SpyLoan מציינות בגלוי אילו הרשאות מתבקשות, טוענות שיש להן את הרישיון המתאים, ומספקות את טווח שיעור האחוז השנתי (שהוא תמיד במגבלה החוקית שנקבעה על ידי חוקי ריבית מקומיים או חקיקה דומה). שיעור האחוז השנתי (APR) מתאר וכולל את שיעור הריבית ועמלות מסוימות, או חיובים הקשורים להלוואה, כגון עמלות הקמה, עמלות עיבוד או עלויות מימון אחרות. במדינות רבות היא מוגבלת מבחינה חוקית, ולדוגמה, במקרה של ספקי הלוואות אישיות בארה"ב, גוגל הגבילה את ה-APR ל-36%.
העלות השנתית הכוללת (TAC; או CAT – costo annual total – בספרדית) חורגת מ-APR וכוללת לא רק את הריבית והעמלות אלא גם עלויות אחרות, כגון דמי ביטוח או הוצאות נוספות הקשורות להלוואה. ה-TAC, לפיכך, מספק ללווים אומדן מדויק יותר של סך ההתחייבות הפיננסית הנדרשת על ידי ההלוואה, כולל כל העלויות הנלוות. מכיוון שמדינות מסוימות באמריקה הלטינית דורשות מספקי הלוואות לחשוף את ה-TAC, אפליקציות SpyLoan המשווקות באזור זה חשפו את העלות הגבוהה האמיתית של ההלוואות שלהן עם TACs בין 160% ל-340%, כפי שמוצג באיור 15.
תיאורי האפליקציה כללו גם את הקדנציה להלוואות אישיות, אשר נקבעת על ידי ספק ההלוואות ועל פי זה של גוגל מדיניות שירותים פיננסיים לא ניתן להגדיר ל-60 יום או פחות. תקופת ההלוואה מייצגת את התקופה שבה צפוי הלווה להחזיר למלווה את הכספים הנלווים ואת כל העלויות הנלוות. האפליקציות שניתחנו היו בטווח הקבוע בין 91 ל-360 ימים (ראה איור 15); עם זאת, לקוחות שסיפקו משוב על Google Play (ראה איור 16) התלוננו על כך שהכהונה הייתה קצרה משמעותית והעניין רב. אם נסתכל על הדוגמה השלישית במשוב באיור 16, הריבית (549 פזו) הייתה גבוהה מההלוואה בפועל (450 פזו), וההלוואה יחד עם הריבית (999 פזו) חייבת להיות מוחזרת תוך 5 ימים, לפיכך מפר את מדיניות הקביעות של Google להלוואות.
מדיניות הפרטיות
כי זה מחויב על ידי מדיניות המפתחים של Google Play, ובהתאם ל הכר את תקני הלקוח שלך (KYC)., מפתחים שרוצים למקם את האפליקציות שלהם ב-Google Play חייבים לספק מדיניות פרטיות תקפה ונגישה בקלות. מדיניות זו חייבת לכסות היבטים כגון סוגי הנתונים שנאספו, אופן השימוש בהם, עם מי ניתן לשתף אותם, אמצעי אבטחה להגנה על נתוני המשתמש וכיצד משתמשים יכולים לממש את זכויותיהם בנוגע לנתונים שלהם. זה דומה להנחיות KYC הדורשות שקיפות בשימוש בנתונים ובהגנה. דרישות KYC לאיסוף נתונים כוללות בדרך כלל איסוף מידע אישי כגון שם מלא, תאריך לידה, כתובת, פרטי קשר ומספר זיהוי או מסמך שהונפקו על ידי הממשלה. בהקשר של שירותים פיננסיים, הדבר עשוי לכלול גם איסוף נתונים על מצב תעסוקה, מקור הכנסה, היסטוריית אשראי ומידע אחר הרלוונטי להערכת כושר האשראי.
למרות שמדיניות פרטיות היא מסמך משפטי, ניתן להפיק אותה באופן אוטומטי בצורה קלה מאוד - ישנם מחוללי מדיניות פרטיות רבים בחינם שיכולים ליצור מסמך כזה לאחר שמפתח האפליקציה מכניס נתונים בסיסיים כגון שם האפליקציה, החברה שמאחוריה, ונתונים שהאפליקציה אוספת. זה אומר שזה די פשוט ליצור מדיניות פרטיות שנראית אמיתית לאדם הממוצע.
בניגוד מוחלט לנורמות KYC, אפליקציות SpyLoan שזיהינו השתמשו בטקטיקות מטעות במדיניות הפרטיות שלהן. הם טענו שהם צריכים הרשאה לגשת לקבצי מדיה "כדי לבצע הערכת סיכונים", הרשאת אחסון "כדי לעזור בהגשת מסמכים", גישה לנתוני SMS שלטענתם קשורה רק לעסקאות פיננסיות "כדי לזהות אותך כראוי", גישה ללוח השנה "על מנת תזמן את תאריך התשלום המתאים והתזכורות המתאימות", הרשאת מצלמה "כדי לעזור למשתמשים להעלות את נתוני התמונות הנדרשים", והרשאות יומן השיחות "כדי לאשר שהאפליקציה שלנו מותקנת בטלפון שלך". במציאות, על פי תקני KYC, אימות זהות והערכת סיכונים יכולים להיעשות באמצעות שיטות איסוף נתונים הרבה פחות פולשניות. כפי שציינו בעבר, על פי מדיניות הפרטיות של אפליקציות אלו, אם הרשאות אלו לא יינתנו לאפליקציה, השירות, ולפיכך ההלוואה, לא יינתן. האמת היא שאפליקציות אלו אינן זקוקות לכל ההרשאות הללו, מכיוון שניתן להעלות את כל הנתונים הללו לאפליקציה עם הרשאה חד פעמית שיש לה גישה רק לתמונות ולמסמכים נבחרים, לא לכולם, בקשת לוח שנה יכולה יישלח אל מקבל ההלוואה בדוא"ל, וההרשאה לגשת ליומני שיחות מיותרת לחלוטין.
חלק ממדיניות הפרטיות נוסחה בצורה סותרת ביותר. מצד אחד, הם רשמו סיבות מטעות לאיסוף נתונים אישיים, ומצד שני, הם טענו שלא נאספים נתונים אישיים רגישים, כפי שמתואר באיור 17. זה נוגד את תקני KYC, הדורשים תקשורת כנה ושקופה לגבי איסוף נתונים ו שימוש, כולל סוגי הנתונים הספציפיים שהוזכרו קודם לכן.
אנו מאמינים שהמטרה האמיתית של ההרשאות הללו היא לרגל אחר המשתמשים באפליקציות הללו ולהטריד וסחיטה אותם ואת אנשי הקשר שלהם.
מדיניות פרטיות נוספת חשפה כי האפליקציה המספקת הלוואות למצרים מופעלת על ידי SIMPAN PINJAM GEMILANG SEJAHTERA MANDIRI. לפי הרשות הכללית המצרית להשקעות ואזורים חופשיים, לא רשומה חברה כזו במצרים; מצאנו את זה, עם זאת, על רשימה של עשרות פלטפורמות לא חוקיות להלוואות עמית לעמית שעליו הזהיר כוח המשימה של אינדונזיה השקעות בינואר 2021.
לסיכום, בעוד שאפליקציות SpyLoan אלו עומדות מבחינה טכנית בדרישות של קיום מדיניות פרטיות, הפרקטיקות שלהן חורגות בבירור מהיקף איסוף הנתונים הדרוש למתן שירותים פיננסיים ולעמידה בתקני הבנקאות של KYC. בהתאם לתקנות KYC, אפליקציות הלוואות לגיטימיות יבקשו רק נתונים אישיים הדרושים לאימות זהות ואמינות האשראי, ולא ידרשו גישה לנתונים לא קשורים כמו קבצי מדיה או רשומות לוח שנה. בסך הכל, חשוב למשתמשים להבין את הזכויות שלהם ולהיות זהירים לגבי ההרשאות שהם מעניקים לכל אפליקציה. זה כולל מודעות לסטנדרטים שנקבעו על ידי תקנות הבנקאות של KYC, שנועדו לא רק להגן על מוסדות פיננסיים מפני הונאה ופעילויות לא חוקיות אחרות, אלא גם על הנתונים האישיים והעסקאות הפיננסיות של המשתמשים שלהם.
אתרי אינטרנט
לחלק מהאפליקציות הללו היו אתרים רשמיים שעזרו ליצור אשליה של ספק הלוואות אישיות מבוססות וממוקדות לקוח, הכילו קישור ל-Google Play ועוד מידע כללי ופשוט אחר ברובו שהיה דומה לתיאור שהמפתח סיפק ב-Google Play , לפני הסרת האפליקציה. הם בדרך כלל לא חשפו את שם העסק שעמד מאחורי האפליקציה. עם זאת, אחד מכמה אתרי אינטרנט שניתחנו הרחיק לכת והכיל פרטים על משרות פתוחות, תמונות של סביבת משרד נוחה ותמונות של מועצת המנהלים - כולם נגנבו מאתרים אחרים.
משרות משרות פתוחות הועתקו מחברות אחרות ונערכו רק בדרכים מינוריות. בזה שהועתק מ אינסטהייר, פלטפורמת גיוס שבסיסה בהודו, ומוצגת באיור 18, רק השורה "ידע טוב על Ameyo" הועברה למיקום אחר בטקסט.
שלוש תמונות של הסביבה המשרדית המתוארת באיור 19 הועתקו משתי חברות - תמונות משרדים ושדה המשחק הן מ שלם עם רינג, אפליקציית תשלום הודית עם מיליוני לקוחות, ותמונת הצוות היא מ הודו הטובה, פלטפורמת מדיה דיגיטלית הודית.
חברי הדירקטוריון מתאים לשמות שהיו קשורים לחברה שטוענת שעומדת מאחורי האפליקציה הספציפית הזו, אבל התמונות ששימשו באתר (המוצגות באיור 20) תיארו שלושה דגמי תמונות מלאי שונים, והאתר לא ציין שהתמונות הללו נועדו להמחשה למטרות בלבד.
אמנם קל לבצע חיפוש תמונות הפוך בגוגל כדי לחפש את מקור התמונות הללו בדפדפן שולחני, אבל חשוב לציין שהרבה יותר קשה לעשות זאת בטלפון. כפי שציינו בעבר, ספקי האפליקציות הללו מתמקדים רק בלווים פוטנציאליים שרוצים להשתמש בטלפון נייד כדי לקבל הלוואה.
אפליקציות הלוואות לגיטימיות לעומת זדוניות - כיצד להבחין ביניהן
כפי שהוזכר בסעיף טכניקות תקשורת מטעה, גם אם האפליקציה או החברה שמאחוריה אומרים שהיא ספק הלוואות מאושר, זה לא מבטיח אוטומטית את הלגיטימיות או השיטות האתיות שלה - היא עדיין יכולה להערים לקוחות פוטנציאליים על ידי שימוש בטקטיקות מטעות ומידע מטעה לגבי תנאי ההלוואה. כפי שהוזכר על ידי תזהר, הגשת בקשה להלוואה ממוסדות מבוססים עשויה להיראות כעצה הטובה ביותר עבור לווים פוטנציאליים, אך אפליקציות SpyLoan מקשות מאוד על הבחנה בינם לבין ארגונים פיננסיים סטנדרטיים ולחלק מהלווים אין גישה לגופים פיננסיים מסורתיים. לכן חיוני לגשת לאפליקציות הלוואות בזהירות ולנקוט בצעדים נוספים כדי להבטיח את אמינותן, שכן התקנתן עשויה להשפיע לרעה מאוד על מצבו הכלכלי של הלווה.
היצמדות למקורות רשמיים ושימוש באפליקציית אבטחה אמורה להספיק כדי לזהות אפליקציית הלוואה זדונית; עם זאת, ישנם צעדים נוספים שמשתמשים יכולים לנקוט כדי להגן על עצמם:
- היצמד למקורות רשמיים
משתמשי אנדרואיד צריכים להימנע מהתקנה של אפליקציות הלוואה ממקורות לא רשמיים ומחנויות אפליקציות של צד שלישי, ולהיצמד לפלטפורמות מהימנות כמו Google Play, שמיישמות תהליכי סקירת אפליקציות ואמצעי אבטחה. למרות שזה לא מבטיח הגנה מלאה, זה מפחית את הסיכון להיתקל באפליקציות הלוואות הונאה. - השתמש באפליקציית אבטחה
אפליקציית אבטחה אמינה לאנדרואיד מגנה על המשתמש שלה מפני אפליקציות הלוואה זדוניות ותוכנות זדוניות. אפליקציות אבטחה מספקות שכבת הגנה נוספת על ידי סריקה וזיהוי של אפליקציות שעלולות להזיק, זיהוי תוכנות זדוניות ואזהרת משתמשים לגבי פעילויות חשודות. אפליקציות הלוואות זדוניות המוזכרות בפוסט זה בבלוג מזוהות על ידי מוצרי ESET כמו Android/SpyLoan, Android/Spy.KreditSpy, או גרסה של Android/Spy.Agent. - סקירת בדיקה
בעת הורדת אפליקציות מ-Google Play, חשוב לשים לב היטב לביקורות משתמשים (ייתכן שאלו לא יהיו זמינות בחנויות לא רשמיות). חשוב להיות מודע לכך שניתן לזייף ביקורות חיוביות או אפילו לסחוט מקורבנות קודמים כדי להגביר את האמינות של אפליקציות הונאה. במקום זאת, על לווים להתמקד בביקורות שליליות ולהעריך בקפידה את החששות שהעלו המשתמשים מכיוון שהם עלולים לחשוף מידע חשוב כגון טקטיקות סחיטה והעלות האמיתית שגובה ספק ההלוואה. - מדיניות פרטיות ובחינת גישה לנתונים
לפני התקנת אפליקציית הלוואה, אנשים צריכים להקדיש זמן לקרוא את מדיניות הפרטיות שלה, אם היא זמינה. מסמך זה מכיל לעתים קרובות מידע רב ערך על האופן שבו האפליקציה ניגשת למידע רגיש ומאחסנת אותו. עם זאת, רמאים עשויים להשתמש בסעיפים מטעים או בשפה מעורפלת כדי להערים על משתמשים להעניק הרשאות מיותרות או לשתף נתונים אישיים. במהלך ההתקנה, חשוב לשים לב לנתונים אליהם מבקשת האפליקציה גישה ולשאול האם הנתונים המבוקשים נחוצים לפונקציונליות של אפליקציית ההלוואה, כגון אנשי קשר, הודעות, תמונות, קבצים ואירועי לוח שנה. - אם המניעה לא עובדת
ישנם מספר אפיקים שבהם אנשים יכולים לבקש עזרה ולנקוט פעולה אם הם נופלים קורבן לכרישי הלוואות דיגיטליות. על הקורבנות לדווח על האירוע לרשויות אכיפת החוק או לרשויות החוק הרלוונטיות במדינתם, לפנות לסוכנויות להגנת הצרכן ולהתריע בפני המוסד השולט בתנאי ההלוואות הפרטיות; ברוב המדינות, זהו הבנק הלאומי או המקביל לו. ככל שמוסדות אלה יקבלו יותר התראות, כך סביר יותר שהם ינקטו פעולה. אם אפליקציית ההלוואה המטעה הושגה דרך Google Play, אנשים יכולים לבקש עזרה מהתמיכה של Google Play שבה הם יכולים לדווח על האפליקציה ולבקש הסרה של הנתונים האישיים שלהם המשויכים אליה. עם זאת, חשוב לציין שייתכן שהנתונים כבר חולצו לשרת C&C של התוקף.
סיכום
גם לאחר מספר הסרות, אפליקציות SpyLoan ממשיכות למצוא את דרכן ל-Google Play, ומשמשות תזכורת חשובה לסיכונים שללווים מתמודדים כאשר הם מחפשים שירותים פיננסיים באינטרנט. יישומים זדוניים אלו מנצלים את האמון שמשתמשים נותנים בספקי הלוואות לגיטימיים, תוך שימוש בטכניקות מתוחכמות כדי להונות ולגנוב מגוון רחב מאוד של מידע אישי.
זה חיוני עבור אנשים לנקוט זהירות, לאמת את האותנטיות של כל אפליקציה או שירות פיננסיים ולהסתמך על מקורות מהימנים. על ידי שמירה על מידע וערנות, המשתמשים יכולים להגן על עצמם טוב יותר מפני נפילות קורבן למזימות מטעות כאלה.
לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
SHA-1 |
שם הקובץ |
איתור |
תיאור |
136067AC519C23EF7B9E8EB788D1F5366CCC5045 |
com.aa.kredit.android.apk |
Android/SpyLoan.AN |
תוכנות זדוניות של SpyLoan. |
C0A6755FF0CCA3F13E3C9980D68B77A835B15E89 |
com.amorcash.credito.prestamo.apk |
Android/SpyLoan.BE |
תוכנות זדוניות של SpyLoan. |
0951252E7052AB86208B4F42EB61FC40CA8A6E29 |
com.app.lo.go.apk |
Android/Spy.Agent.CMO |
תוכנות זדוניות של SpyLoan. |
B4B43FD2E15FF54F8954BAC6EA69634701A96B96 |
com.cashwow.cow.eg.apk |
אנדרואיד/Spy.Agent.EY |
תוכנות זדוניות של SpyLoan. |
D5104BB07965963B1B08731E22F00A5227C82AF5 |
com.dinero.profin.prestamo.credito.credit.credibus.loan.efectivo.cash.apk |
Android/Spy.Agent.CLK |
תוכנות זדוניות של SpyLoan. |
F79D612398C1948DDC8C757F9892EFBE3D3F585D |
com.flashloan.wsft.apk |
אנדרואיד/Spy.Agent.CNB |
תוכנות זדוניות של SpyLoan. |
C0D56B3A31F46A7C54C54ABEE0B0BBCE93B98BBC |
com.guayaba.cash.okredito.mx.tala.apk |
Android/Spy.Agent.CLK |
תוכנות זדוניות של SpyLoan. |
E5AC364C1C9F93599DE0F0ADC2CF9454F9FF1534 |
com.loan.cash.credit.tala.prestmo.fast.branch.mextamo.apk |
אנדרואיד/SpyLoan.EZ |
תוכנות זדוניות של SpyLoan. |
9C430EBA0E50BD1395BB2E0D9DDED9A789138B46 |
com.mlo.xango.apk |
אנדרואיד/Spy.Agent.CNA |
תוכנות זדוניות של SpyLoan. |
6DC453125C90E3FA53988288317E303038DB3AC6 |
com.mmp.optima.apk |
אנדרואיד/Spy.Agent.CQX |
תוכנות זדוניות של SpyLoan. |
532D17F8F78FAB9DB953970E22910D17C14DDC75 |
com.mxolp.postloan.apk |
Android/Spy.KreditSpy.E |
תוכנות זדוניות של SpyLoan. |
720127B1920BA8508D0BBEBEA66C70EF0A4CBC37 |
com.okey.prestamo.apk |
אנדרואיד/Spy.Agent.CNA |
תוכנות זדוניות של SpyLoan. |
2010B9D4471BC5D38CD98241A0AB1B5B40841D18 |
com.shuiyiwenhua.gl.apk |
Android/Spy.KreditSpy.C |
תוכנות זדוניות של SpyLoan. |
892CF1A5921D34F699691A67292C1C1FB36B45A8 |
com.swefjjghs.weejteop.apk |
Android/SpyLoan.EW |
תוכנות זדוניות של SpyLoan. |
690375AE4B7D5D425A881893D0D34BB63462DBBF |
com.truenaira.cashloan.moneycredit.apk |
Android/SpyLoan.FA |
תוכנות זדוניות של SpyLoan. |
1F01654928FC966334D658244F27215DB00BE097 |
king.credit.ng.apk |
Android/SpyLoan.AH |
תוכנות זדוניות של SpyLoan. |
DF38021A7B0B162FA661DB9D390F038F6DC08F72 |
om.sc.safe.credit.apk |
Android/Spy.Agent.CME |
תוכנות זדוניות של SpyLoan. |
רשת
IP |
תְחוּם |
ספק אירוח |
נראה לראשונה |
פרטים |
3.109.98[.]108 |
pss.aakredit[.]in |
Amazon.com, Inc. |
2023-03-27 |
שרת C&C. |
35.86.179[.]229 |
www.guayabacash[.]com |
Amazon.com, Inc. |
2021-10-17 |
שרת C&C. |
35.158.118[.]139 |
למשל.easycredit-app[.]com |
Amazon.com, Inc. |
2022-11-26 |
שרת C&C. |
43.225.143[.]80 |
ag.ahymvoxxg[.]com |
ענני HUAWEI |
2022-05-28 |
שרת C&C. |
47.56.128[.]251 |
hwpamjvk.whcashph[.]com |
Alibaba (US) Technology Co., Ltd. |
2020-01-22 |
שרת C&C. |
47.89.159[.]152 |
qt.qtzhreop[.]com |
Alibaba (US) Technology Co., Ltd. |
2022-03-22 |
שרת C&C. |
47.89.211[.]3 |
rest.bhvbhgvh[.]space |
Alibaba (US) Technology Co., Ltd. |
2021-10-26 |
שרת C&C. |
47.91.110[.]22 |
la6gd.cashwow[.]מועדון |
Alibaba (US) Technology Co., Ltd. |
2022-10-28 |
שרת C&C. |
47.253.49[.]18 |
mpx.mpxoptim[.]com |
Alibaba (US) Technology Co., Ltd. |
2023-04-24 |
שרת C&C. |
47.253.175[.]81 |
oy.oyeqctus[.]com |
ALICLOUD-US |
2023-01-27 |
שרת C&C. |
47.254.33[.]250 |
iu.iuuaufbt[.]com |
Alibaba (US) Technology Co., Ltd. |
2022-03-01 |
שרת C&C. |
49.0.193[.]223 |
kk.softheartlend2[.]com |
IRT-HIPL-SG |
2023-01-28 |
שרת C&C. |
54.71.70[.]186 |
www.credibusco[.]com |
Amazon.com, Inc. |
2022-03-26 |
שרת C&C. |
104.21.19[.]69 |
cy.amorcash[.]com |
Cloudflare, Inc |
2023-01-24 |
שרת C&C. |
110.238.85[.]186 |
api.yumicash[.]com |
ענני HUAWEI |
2020-12-17 |
שרת C&C. |
152.32.140[.]8 |
app.truenaira[.]co |
IRT-UCLOUD-HK |
2021-10-18 |
שרת C&C. |
172.67.131[.]223 |
apitai.coccash[.]com |
Cloudflare, Inc |
2021-10-21 |
שרת C&C. |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 13 של מסגרת MITER ATT & CK.
טקטיקה |
ID |
שם |
תיאור |
גילוי פערים |
גילוי תוכנה |
SpyLoan יכול לקבל רשימה של יישומים מותקנים. |
|
גילוי קבצים וספריות |
SpyLoan מפרטת תמונות זמינות באחסון חיצוני ומחלצת מידע Exif. |
||
גילוי תצורת רשת מערכת |
SpyLoan מחלץ את IMEI, IMSI, כתובת IP, מספר טלפון ומדינה. |
||
גילוי מידע מערכת |
SpyLoan מחלץ מידע על המכשיר, כולל מספר סים סידורי, מזהה מכשיר ופרטי מערכת נפוצים. |
||
אוספים |
מעקב אחר מיקום |
SpyLoan עוקב אחר מיקום המכשיר. |
|
נתוני משתמש מוגנים: ערכי לוח שנה |
SpyLoan מחלץ אירועי לוח שנה. |
||
נתוני משתמש מוגנים: יומני שיחות |
SpyLoan מחלץ יומני שיחות. |
||
נתוני משתמש מוגנים: רשימת אנשי קשר |
SpyLoan מחלץ את רשימת אנשי הקשר. |
||
נתוני משתמש מוגנים: הודעות SMS |
SpyLoan מחלץ הודעות SMS. |
||
פיקוד ובקרה |
פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט |
SpyLoan משתמש ב-HTTPS כדי לתקשר עם שרת C&C שלה. |
|
ערוץ מוצפן: קריפטוגרפיה סימטרית |
SpyLoan משתמשת ב-AES כדי להצפין את התקשורת שלה. |
||
exfiltration |
סינון מעל ערוץ C2 |
SpyLoan מסנן נתונים באמצעות HTTPS. |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 16
- 17
- 19
- 1st
- 20
- 2018
- 2020
- 2021
- 2022
- 2023
- 225
- 24
- 30th
- 32
- 35%
- 360
- 60
- 67
- 7
- 8
- 9
- 91
- a
- יכול
- אודות
- לְקַבֵּל
- גישה
- נגישות
- נגיש
- מושלם
- פי
- חֶשְׁבּוֹן
- חשבונות
- מדויק
- לרוחב
- פעולה
- פעיל
- באופן פעיל
- פעילויות
- שחקנים
- ממשי
- למעשה
- נוסף
- בנוסף
- כתובת
- מתקדם
- יתרון
- עצה
- AES
- אפריקה
- לאחר
- שוב
- נגד
- סוכנויות
- סוֹכֵן
- הסכם
- קדימה
- המטרה
- מטרות
- דומה
- ערני
- התראות
- תעשיות
- אליאנס
- מאפשר
- כְּבָר
- גם
- למרות
- תמיד
- אמריקה
- אֲמֶרִיקָאִי
- בין
- an
- מְנוּתָח
- ו
- דְמוּי אָדָם
- שנתי
- אחר
- כל
- בְּכָל מָקוֹם
- האפליקציה
- חנות האפליקציות
- חנויות אפליקציות
- מופיע
- תפוח עץ
- אפליקציית אפל
- Apple App Store
- בקשה
- יישומים
- יישומית
- החל
- מריחה
- גישה
- הסכמה
- מאושר
- אפליקציות
- אפריל
- APT
- ARE
- סביב
- AS
- אסיה
- לשאול
- אספקט
- היבטים
- הערכה
- הערכה
- סיוע
- המשויך
- At
- תשומת לב
- למשוך
- מושך
- אותנטיות
- רשויות
- סמכות
- באופן אוטומטי
- זמין
- שדרות
- מְמוּצָע
- לְהִמָנַע
- מודע
- מודעות
- בחזרה
- רע
- בנק
- בנקאות
- בסיס
- מבוסס
- בסיסי
- BE
- הפך
- כי
- היה
- לפני
- ההתחלה
- התנהגות
- מאחור
- להיות
- תאמינו
- הטוב ביותר
- מוטב
- בֵּין
- לְהִזָהֵר
- מעבר
- הולדת
- סחטנות
- לוּחַ
- דירקטוריון
- שָׁאוּל
- לוֹוֶה
- לווים
- שניהם
- סניף
- מיתוג
- רחב
- דפדפן
- דפדפנים
- בִּניָן
- נבנה
- עסקים
- פרקטיקות עסקיות
- אבל
- by
- יומן אירועים
- שיחה
- הגיע
- חדר
- מבצע
- CAN
- יכול לקבל
- קנדה
- לא יכול
- מסוגל
- כרטיסים
- בזהירות
- נשא
- מקרה
- מקרים
- מזומנים
- חָתוּל
- היאבקות
- זהירות
- זהיר
- מסוים
- ודאות
- סיכויים
- השתנה
- שינויים
- ערוץ
- ערוצים
- טעון
- חיובים
- טְעִינָה
- לטעון
- נתבע
- תביעה
- טענות
- בבירור
- סְגוֹר
- מקרוב
- CO
- קוד
- קודים
- איסוף
- אוסף
- קבוצתי
- יַחַד
- קולומביה
- COM
- משולב
- נוח
- מחויבות
- Common
- להעביר
- תקשורת
- תקשורת
- חברות
- חברה
- השוואה
- נאלץ
- תלונות
- להשלים
- לחלוטין
- להיענות
- דאגות
- מסקנה
- נידון
- לנהל
- תְצוּרָה
- לאשר
- השלכות
- נחשב
- צרכן
- הגנת הצרכן
- צור קשר
- אנשי קשר
- להכיל
- הכלול
- מכיל
- הקשר
- נמשך
- לעומת זאת
- לִשְׁלוֹט
- נוחות
- עלות
- עלויות
- יכול
- מדינות
- מדינה
- ספציפי למדינה
- לכסות
- לִיצוֹר
- אמינות
- אשראי
- ערך האשראי
- בין פלטפורמה
- מכריע
- לקוח
- לקוחות
- נתונים
- גישה למידע
- תַאֲרִיך
- ימים
- מוות
- חוב
- דֵצֶמבֶּר
- מוקדש
- גופי בטחון
- עיכוב
- דרישה
- דרישות
- פרס
- עומקים
- לתאר
- מְתוּאָר
- תיאור
- עיצוב
- מעוצב
- שולחן העבודה
- מְפוֹרָט
- פרטים
- לאתר
- זוהה
- איתור
- לקבוע
- לפתח
- מפתח
- מפתחים
- צעצועי התפתחות
- מכשיר
- אחר
- קשה
- דיגיטלי
- מדיה דיגיטלית
- ישירות
- דירקטורים
- לחשוף
- לשבש
- לְהַבחִין
- מחולק
- do
- מסמך
- מְתוֹעָד
- מסמכים
- עושה
- לא איכפת
- לא
- עשה
- לא
- דֶלֶת
- מטה
- להורדה
- הורדות
- עשרות
- נהיגה
- ראוי
- בְּמַהֲלָך
- מוקדם יותר
- בקלות
- קל
- השפעה
- מצרים
- או
- אלמנטים
- אמייל
- תעסוקה
- פוגש
- מוצפן
- סוף
- אַכִיפָה
- התעסקות
- לְהַבטִיחַ
- הבטחתי
- ישויות
- סביבה
- שווה
- במיוחד
- חיוני
- נוסד
- לְהַעֲרִיך
- אֶתִי
- אֵירוֹפִּי
- מדינות אירופה
- להעריך
- אֲפִילוּ
- אירועים
- אי פעם
- כל
- עדות
- התפתח
- דוגמה
- מופרז
- תרגיל
- פילטרציה
- הוצג
- קיימים
- צפוי
- הוצאות
- ניסיון
- בִּמְפוּרָשׁ
- לנצל
- סיומות
- נרחב
- חיצוני
- סחיטה
- תמציות
- מאוד
- פָּנִים
- פייסבוק
- לְהַקֵל
- הקלה
- עובדה
- ליפול
- נָפוּל
- נפילה
- מהר
- מאפיין
- מָשׁוֹב
- אגרות
- שדה
- תרשים
- קבצים
- לממן
- כספי
- מידע פיננסי
- גופים פיננסיים
- שירותים פיננסיים
- а
- מציאת
- fintech
- ראשון
- חמש
- רִפרוּף
- להתמקד
- כדלקמן
- כף רגל
- בעד
- להכריח
- טופס
- צורות
- מצא
- ארבע
- מסגרת
- הונאה
- חופשי
- החל מ-
- חזית
- מלא
- פונקציונלי
- פונקציות
- כספים
- נוסף
- לְהַשִׂיג
- איסוף
- נתן
- כללי
- בדרך כלל
- ליצור
- נוצר
- גנרטורים
- אמיתי
- לקבל
- Go
- Goes
- הולך
- Play Google
- גוגל
- קבל
- שולט
- להעניק
- כמובן מאליו
- הענקת
- לגדול
- גדל
- צמיחה
- אַחֲרָיוּת
- הנחיות
- היה
- יד
- קרה
- מזיק
- קְצִיר
- יש
- יש
- he
- לעזור
- עזר
- מוּסתָר
- הסתר
- גָבוֹהַ
- גבוה יותר
- לו
- שכירה
- שֶׁלוֹ
- היסטוריה
- יָשָׁר
- איך
- איך
- אולם
- HTML
- HTTPS
- ID
- זהה
- הזדהות
- מזוהה
- לזהות
- זיהוי
- זהות
- אימות זהות
- if
- לא חוקי
- אשליה
- תמונה
- חיפוש תמונה
- תמונות
- מיידי
- עָצוּם
- פְּגִיעָה
- ליישם
- חשוב
- שיפורים
- in
- תקרית
- לכלול
- כלול
- כולל
- כולל
- הַכנָסָה
- התאגדה
- להגדיל
- גדל
- הודו
- הוֹדִי
- מצביע על
- אנשים
- אינדונזיה
- אינדונזי
- תעשייה
- מידע
- הודעה
- פניות
- מוסיף
- השראה
- התקנה
- התקנה
- למשל
- במקום
- מוסד
- מוסדות
- ביטוח
- מוֹדִיעִין
- מְכוּוָן
- אינטרס
- גובה הריבית
- שערי ריבית
- התערבות
- אל תוך
- מבוא
- השקעה
- לערב
- מעורב
- iOS
- אפליקציות iOS
- IP
- כתובת IP
- מְבוּדָד
- IT
- שֶׁלָה
- יָנוּאָר
- ינואר 2021
- עבודה
- שמור
- קנייה
- שמר
- ערכה
- ערכה (SDK)
- לדעת
- ידע
- ידוע
- KYC
- דרישות KYC
- שפה
- אחרון
- מאוחר יותר
- הלטינית
- אמריקה הלטינית
- אמריקה הלטינית
- לשגר
- חוק
- אכיפת החוק
- חוקים
- שכבה
- שכבות
- הכי פחות
- עזבו
- משפטי
- באופן חוקי
- חֲקִיקָה
- לֵגִיטִימִיוּת
- לגיטימי
- מַשׁאִיל
- הַשׁאָלָה
- פחות
- תנופה
- מינוף
- ספריות
- רישיון
- כמו
- להגביל
- מוגבל
- גישה מוגבלת
- קו
- קשר
- רשימה
- ברשימה
- רשימות
- להלוות
- הלוואות
- מקומי
- מיקום
- היכנס
- עוד
- נראה
- מגרש
- אהבתי
- בע"מ
- מכונה
- מכונת תרגום
- עשוי
- בעיקר
- זרם מרכזי
- הרוב
- לעשות
- עושה
- עשייה
- תוכנות זדוניות
- רב
- מַפָּה
- שוק
- דבר
- מאי..
- אומר
- אמצעים
- מנגנון
- מדיה
- תרופות
- לִפְגוֹשׁ
- חבר
- להרשם/להתחבר
- מוּזְכָּר
- הודעה
- הודעות
- שיטות
- MEXICO
- יכול
- מִילִיוֹן
- מיליונים
- אכפת לי
- קטין
- מַטעֶה
- הֲקָלָה
- סלולרי
- אפליקציות ניידות
- טלפון סלולרי
- -לאפליקציות לנייד
- מודלים
- כסף
- יותר
- רוב
- בעיקר
- נִרגָשׁ
- נע
- ממוצע נע
- הרבה
- צריך
- MX
- שם
- שמות
- לאומי
- בנק לאומי
- הכרחי
- צורך
- נחוץ
- צרכי
- שלילי
- רשת
- חדש
- ניגריה
- לא
- נורמות
- הערות
- ציין
- שום דבר
- נוֹבֶמבֶּר
- מספר
- מספרים
- שנצפה
- להשיג
- מושג
- of
- הצעה
- המיוחדות שלנו
- Office
- רשמי
- לעתים קרובות
- on
- ONE
- יחידות
- באינטרנט
- רק
- לפתוח
- קוד פתוח
- תוכנת קוד פתוח
- בגלוי
- להפעיל
- מופעל
- אפשרות
- or
- להזמין
- ארגונים
- מקור
- מקורותיה
- אחר
- שלנו
- הַחוּצָה
- המתואר
- בחוץ
- יותר
- מקיף
- שֶׁלוֹ
- עמוד
- פקיסטן
- מסוים
- שותף
- חלקים
- סיסמה
- עבר
- תשלום
- תשלום
- תשלומים
- שלום
- עניין על עניין
- הלוואות עמית לעמית
- אֲנָשִׁים
- אחוזים
- לבצע
- תקופה
- רשות
- הרשאות
- אדם
- אישי
- מידע אישי
- הלוואות אישיות
- פרו
- הפיליפינים
- טלפון
- צילום
- תמונות
- תמונות
- תמונות
- מקום
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- שיחק
- משחק
- אנא
- אנא צור קשר
- נקודות
- מדיניות
- מדיניות
- פופולרי
- עמדה
- עמדות
- חיובי
- פורסם
- פוטנציאל
- לקוחות פוטנציאלים
- פוטנציאל
- פרקטיקות
- טורפים
- נוכחות
- להציג
- מוצג
- מניעה
- קודם
- קוֹדֶם
- פְּרָטִיוּת
- מדיניות פרטיות
- פְּרָטִי
- בעיות
- תהליך
- תהליכים
- תהליך
- מוצרים
- תָכְנִית
- תכנות
- אסור
- מבטיח
- לקדם
- הוכחה
- כמו שצריך
- להגן
- מוּגָן
- .
- מגן
- פרוטוקול
- לספק
- ובלבד
- ספק
- ספקים
- מספק
- מתן
- פרסום
- לאור
- לִרְכּוֹשׁ
- מטרה
- למטרות
- גם
- שאלה
- מָהִיר
- מהירות
- דַי
- להעלות
- מורם
- רכס
- מהיר
- ציון
- תעריפים
- RE
- לְהַגִיעַ
- הגיע
- חומר עיוני
- ממשי
- מציאות
- בֶּאֱמֶת
- טעם
- סביר
- סיבות
- לקבל
- קיבלו
- לאחרונה
- להכיר
- המלצות
- מפחית
- להתייחס
- מתייחס
- בדבר
- ללא קשר
- באזור
- אזורים
- רשום
- הַרשָׁמָה
- מוסדר
- תקנון
- קָשׁוּר
- רלוונטי
- אָמִין
- לסמוך
- תזכורת
- הסרה
- הוסר
- לְהַחזִיר
- החזר
- לדווח
- דווח
- דוחות לדוגמא
- מייצג
- מכובד
- לבקש
- בקשתי
- בקשות
- לדרוש
- נדרש
- דרישות
- מחקר
- חוקרים
- אלה
- אחראי
- לגלות
- גילה
- להפוך
- סקירה
- חוות דעת של לקוחותינו
- תקין
- זכויות
- לעלות
- הסיכון
- הערכת סיכונים
- סיכונים
- תפקיד
- גִלגוּל
- הפעלה
- s
- בטוח
- בְּטִיחוּת
- אותו
- אומר
- SC
- הונאה
- אפליקציות הונאה
- אתרי הונאה
- רמאים
- סריקה
- לוח זמנים
- תכנית
- תוכניות
- היקף
- צילומי מסך
- Sdk
- חיפוש
- שְׁנִיָה
- סעיף
- אבטחה
- אמצעי אבטחה
- לִרְאוֹת
- לחפש
- מחפשים
- נראה
- נראה
- לראות
- בחר
- נבחר
- סלף
- שליחה
- רגיש
- נשלח
- סידורי
- לשרת
- שרת
- שרתים
- שרות
- שירותים
- סט
- שבע
- כמה
- שיתוף
- משותף
- שיתוף
- כרישים
- צריך
- לראווה
- הראה
- הופעות
- צדדים
- משמעותי
- באופן משמעותי
- כן
- דומה
- פָּשׁוּט
- בפשטות
- since
- סינגפור
- מצב
- טלפון חכם
- טלפונים חכמים
- SMS
- So
- חֶברָתִי
- מדיה חברתית
- תוכנה
- פיתוח תוכנה
- ערכת פיתוח תוכנה
- כמה
- מתוחכם
- מָקוֹר
- מקורות
- דרומית-מזרחית
- דרום מזרח אסיה
- ספרדי
- ספציפי
- מסחרי
- תוכנות ריגול
- תֶקֶן
- תקנים
- מוּחלָט
- התחלה
- החל
- מדינה
- אמור
- לפי
- מצב
- להישאר
- צעדים
- מקל
- עוד
- מניות
- גָנוּב
- עצור
- אחסון
- חנות
- מאוחסן
- חנויות
- זִרמִי
- להגיש
- כתוצאה מכך
- מוצלח
- בהצלחה
- כזה
- מספיק
- תמיכה
- חשוד
- SWIFT
- מערכת
- T
- שולחן
- טקטיקה
- לקחת
- משימות
- נטילת
- ממוקד
- מיקוד
- המשימות
- כוח המשימה
- נבחרת
- טק
- מבחינה טכנית
- טכניקות
- טכנולוגיה
- מונחים
- תנאי השירות
- טֶקסט
- תאילנד
- מֵאֲשֶׁר
- זֶה
- השמיים
- הפיליפינים
- המקור
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- לכן
- אלה
- הֵם
- דבר
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אלה
- אם כי?
- איום
- דוח איומים
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- יַחַד
- לקח
- כלים
- סה"כ
- מסורתי
- עסקות
- תרגום
- שקיפות
- שָׁקוּף
- מְגַמָה
- נָכוֹן
- סומך
- מהימן
- אמת
- שתיים
- סוגים
- טיפוסי
- בדרך כלל
- בסופו של דבר
- בְּסִיסִי
- להבין
- הבנה
- מְעוּדכָּן
- נטען
- דחוף
- us
- ארה"ב
- נוֹהָג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- ביקורות משתמשים
- ידידותי למשתמש
- משתמשים
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- מנוצל
- תקף
- לְאַמֵת
- בעל ערך
- מידע בעל ערך
- גִרְסָה אַחֶרֶת
- שונים
- אימות
- לאמת
- גרסה
- מאוד
- באמצעות
- קרבן
- קורבנות
- וידאו
- וייטנאם
- מפר
- לְבַקֵר
- vs
- פגיע
- רוצה
- מוזהר
- אזהרה
- היה
- דֶרֶך..
- דרכים
- we
- אינטרנט
- אתר
- אתרים
- הלכתי
- היו
- מה
- מתי
- אם
- אשר
- בזמן
- מי
- חיבור אינטרנט אלחוטי
- רָחָב
- טווח רחב
- ויקיפדיה
- יצטרך
- מוכן
- חלונות
- עם
- בתוך
- לְלֹא
- הניסוח
- ראוי
- היה
- כתיבה
- WSFT
- שנים
- אתה
- עצמך
- YouTube
- זפירנט
- אזורי