2022年6月，奇安信病毒響應中心移動安全團隊監測到偽山寨貸木馬“BHY”，又開始進入新一輪的爆發期。“BHY”最早出現于2021年10月，常偽裝成為國內部分知名商業銀行信貸應用，在最近的不到半個月時間，該團伙就投遞使用了三千多個樣本。

“顯然，該團伙有明顯奔著6·18來的傾向。”奇安信病毒響應中心專家表示，隨著網貸的日漸流行，各種假冒網貸團伙使用多種多樣的山寨網貸APP，披著貸款的外衣從事詐騙活動。和其他的假冒網貸團伙一樣，此次山寨網貸“BHY”黑產團伙他們通過電話、短信、社交聊天等方式發布虛假貸款信息為誘餌，引導急需貸款的用戶下載山寨網款APP，進而收集用戶手機號、身份證、銀行卡號等個人敏感信息，還可以詐騙用戶支付費用（包括手續費、認證金、保證金、工本費、履約保險費、銀行卡解凍費等），進行快速轉移銷贓。

截至目前，奇安信監測雷達監測顯示，目前國內已經有千余用戶受到該木馬的影響。從地域分布來看，訪問量最多的省份為廣東省，占據全國訪問量的18.07%；其它省份占比相對平均約為5%左右。

經過數年的發展，山寨網貸APP已形成了一套完整的黑色產業鏈，既有黑產團隊在前端用專業話術詐騙用戶支付多種費用，進行快速轉移銷贓和非法轉賣獲利；又有團隊人員專門研究行業中眾熟知的大型正規機構，設計仿冒并推出上線；還有專業技術人員在快速注冊及更換惡意服務器等。每當打折、促銷等購物活動來臨，正是不少用戶急需用錢的時候，這也給了黑產團伙以可乘之機。

為避免消費者遭遇網貸詐騙APP攻擊，奇安信病毒響應中心建議：

第一，正規貸款機構不會在放款前收取任何費用（包括手續費、認證金、保證金、工本費、履約保險費、銀行卡解凍費等），收費的一定是騙子；

第二，正規貸款機構的客服不會通過非官方渠道（如個人電話、個人微信、個人QQ等)和用戶聯系。出現非官方客服聯系的情況，一定要注意核查對方身份，千萬不要向陌生個人賬戶轉賬，及提供個人信息和驗證碼。

第三，在正規的應用商店下載應用，不要安裝不可信來源的應用、不要隨便點擊不明鏈接或者掃描安全性未知的二維碼。

第四，確保安裝有可信賴的手機安全軟件（如奇安信移動安全產品或者國家反詐中心APP等），進行實時保護個人財產安全。

第五，積極學習網絡安全知識，及時了解當下流行的網絡騙局，千萬不要輕信“無抵押”、“低利息”、“大額度”、“有捷徑”等虛假宣傳。一旦被騙，及時報警。

目前，基于奇安信自研貓頭鷹引擎和威脅情報中心的威脅情報數據的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天機、天眼高級威脅檢測系統、奇安信NGSOC等，都已經支持對此類攻擊的精確檢測。