Meşru bir finansal hizmet olarak maskelenen kötü niyetli bir kredi başvurusu, resmi uygulama mağazalarından kaldırılmadan önce 150.000’den fazla iOS ve Android cihaza bulaşmıştır.
“Rapiplata” olarak tanımlanan uygulama, Finans kategorisinde Benzerweb’in Kolombiya’daki platformunda ilk 20 sıralamaya ulaştı ve bu sofistike tehdidin yaygın etkisini gösterdi.
.webp)
Yaklaşık 100.000 kurban uygulamayı Google Play’den indirirken, geri kalanı Apple App Store’dan elde etti ve her iki platformun güvenlik tarama süreçlerindeki güvenlik açıklarını vurguladı.
.png
)
.webp)
Hileli uygulama, kendisini Kolombiyalı kullanıcıları hedefleyen hızlı bir kredi hizmeti olarak sundu, ancak görünüşte meşru arayüzünün arkasındaki kapsamlı veri hırsızlığı yeteneklerini gizledi.
Kurulduktan sonra Rapiplata, SMS mesajlarına erişim, çağrı günlükleri, takvim etkinlikleri ve yüklü uygulamaların listeleri de dahil olmak üzere kredi işleme için gerekli olanın çok ötesinde izinler talep etti.
Uygulama, bu izinlerin kredibilite değerlendirmesi ve ödeme hatırlatıcıları için gerekli olduğunu iddia etti, ancak gerçekte kullanıcıların cihazlarının kapsamlı bir gözetimini sağladılar.
Check Point araştırmacıları, Şubat 2025’te kötü amaçlı uygulamayı, uygulamayı gelişmiş makine öğrenme modelleri kullanarak kötü niyetli olarak işaretleyen Harmony Mobile Tespit Motorları aracılığıyla belirlediler.
Analizleri, rapiplata’nın daha önce tanımlanmış tehditlere bağlantıları olan daha büyük bir Spyloan kötü amaçlı yazılım operasyonunun bir parçası olduğunu ortaya koydu. En önemlisi, virustotal üzerinde minimal algılama kapsamı idi ve kötü amaçlı yazılımların kaldırılmadan önce aylarca tespit edilmemesine izin verdi.
Mağdurlar, mesajlar ve e -postalar yoluyla taciz de dahil olmak üzere sadece veri hırsızlığının ötesinde ciddi sonuçlar bildirdiler.
Saldırganlar, çoğu zaman gerçek kredi almamış olmasına rağmen, kullanıcıları suçlu borçlu olarak etiketlemekle sık sık tehdit etti.
Bazı durumlarda, uygulama operatörleri kurbanların çalınan adres defterlerinden temas ettiler, yanlış borçlar talep ederek ve kişisel itibarlara zarar verdiler.
Bu sosyal mühendislik taktikleri, teknik sömürüyü birleştirerek etkilenen kullanıcılar için hem dijital hem de gerçek dünya sonuçları yarattı.
Mart 2025’teki resmi mağazalardan çıkarılmasına rağmen, Rapiplata alternatif dağıtım kanalları aracılığıyla tehdit oluşturmaya devam ediyor.
Uygulamanın web sitesi operasyonel ve aldatıcı bir şekilde kullanıcıları yetkisiz uygulama yüklemesi için harici sitelere yönlendiren bir Google Play indir düğmesi görüntüler.
.webp)
Bu yönlendirme zinciri (HTTPS gibi URL’ler kullanarak[:]//T[.]Erkekler[.]CO/9Yepe), operatörlerin artan incelemeye rağmen kötü amaçlı kampanyalarını sürdürme kararlılığını gösterir.
Uygulamanın en sofistike özelliği kapsamlı veri söndürme mekanizmasıydı. İlk lansmandan sonra, Rapiplata, görünüşte finansal duruşu değerlendirmek için tüm SMS mesajlarını belirli anahtar kelimeler için taradı.
Bununla birlikte, anahtar kelime listesinde, minimum finansal ilgisi olan “Día” (Gün), “Hasta” (Hasta ”,“ Para ”(For) ve“ Sido ”(olmuş) gibi sıradan İspanyol terimleri de dahil olmak üzere daha geniş gözetim niyetleri ortaya çıktı.
Bu kapsamlı tarama, daha sonra analiz ve sömürü için komut ve kontrol sunucularına yüklenen neredeyse tüm iletişimleri etkili bir şekilde yakaladı.
Takvim eksfiltrasyonu, genellikle zoom toplantı bağlantıları ve sunum ekleri içerdiği için kurumsal kullanıcılar için özellikle tehlikeli olduğunu kanıtladı.
Saldırganlar, tespit edilmemiş hassas kurumsal tartışmalara katılmak için bu zekadan yararlanabilir, fikri mülkiyet ve stratejik ticari bilgilere erişebilirler.
Benzer şekilde, günlükleri, sosyal ve profesyonel ilişkilerin etkinleştirilmesini etkinleştirerek, kurbanın ağındaki kişilere karşı hedeflenen mızrak aktı kampanyalarını kolaylaştırır.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin