Google Play ve Apple App Store’daki 150.000’den fazla kullanıcı, Şubat 2025’te gelişmiş algılama motorları tarafından tanımlanan “Rapiplata” adlı kötü niyetli bir Spyloan uygulamasına kurban etti.
Öncelikle Kolombiyalı kullanıcıları hedefleyen meşru bir finansal hizmet olarak poz veren bu uygulama, Kolombiya’da benzer bir şekilde Finans kategorisinde ilk 20 sıralamaya ulaştı ve aldatıcı erişimini vurguladı.
Mart 2025’e kadar resmi uygulama mağazalarından kaldırılmasına rağmen, Rapiplata, resmi bir Google Play indirme olarak yanıltıcı bir şekilde sunan üçüncü taraf web siteleri aracılığıyla bir tehdit oluşturmaya devam ediyor.
.png
)
Rapiplata uygulaması yırtıcı taktiklerle güvenden yararlanır
Harmony Mobile’ın makine öğrenme modeli, uygulamayı kötü niyetli olarak işaretledi, SMS mesajları, çağrı günlükleri, takvim olayları ve yüklü uygulamalar gibi hassas verilere istilacı erişimini ortaya çıkardı ve bunların hepsi meşru gerekçe olmadan sunucularına yüklendi.
Bu ihlalin şiddeti, Ağustos 2022’den beri Google Play’de aktif olan ve aynı veri genişletme davranışları nedeniyle benzer şekilde kaldırılan daha önce tanımlanmış bir uygulama olan “Préstamo Rápido” ile bağlantıları olan daha geniş bir Spyloan kötü amaçlı yazılım işlemleri ağını ortaya çıkardı.
Rapiplata’nın kötü niyetli işlevselliği, anahtar sözcük tabanlı SMS taraması, davranışsal veri toplama ve kişisel bilgilerin yetkisiz bir şekilde uygulanması için kredi değerlendirme kisvesi altındaki izinlerden yararlanan ciddi bir gizlilik ihlali örnekler.
Başlatıldıktan sonra, ödeme hatırlatıcıları veya uygunluk kontrolleri gibi dayanıksız mazeretler kullanarak tüm SMS gelen kutularını, çağrı günlüklerini ve takvim verilerini gelişigüzel bir şekilde yükler.
Kurumsal Tehdit Vektörleri
Check Point Araştırma Raporuna göre, genellikle güvenli kabul edilen iOS cihazlarında, bu tür veri hırsızlığı kişisel bilgileri kurumsal ihlal vektörlerine dönüştürür.
SMS ve Çağrı günlükleri, ekran aktı için kimlik doğrulama kodlarını veya sosyal bağlantıları ortaya çıkarabilirken, takvim verileri, saldırganların gizli tartışmalara erişmek için sömürebileceği Zoom toplantı bağlantıları da dahil olmak üzere hassas kurumsal etkileşimleri ortaya çıkarır.
Ayrıca, yüklü uygulamaların listeleri, siber suçluların kötü amaçlı yazılımları belirli güvenlik açıklarından yararlanacak şekilde uyarlamasına yardımcı olur ve sağlam güvenlik önlemlerini bile atlar.
Mağdurlar, ödenmemiş krediler talep eden kişilere tehdit edici e -postalar ve mesajlar da dahil olmak üzere üzücü deneyimler bildirdiler, uygulamanın yırtıcı taktiklerini hayali borçlar için geri ödemeleri zorlamak için sergiliyorlar.
Uygulamanın Virustotal gibi platformlarda minimal algılaması, bu tehditlerin gelişen sofistike olmasının altını çiziyor, genellikle küçük sözdizimi değişiklikleri ve yeni komut ve kontrol sunucuları aracılığıyla geleneksel güvenlik taramalarından kaçıyor.
Kullanıcılar, bu tür tehditleri proaktif olarak engelleyen Check Point’in Harmony Mobile gibi gelişmiş mobil güvenlik çözümlerini benimsemeleri ve krediler için güvenilmez üçüncü taraf uygulamalardan ziyade yalnızca doğrulanmış finansal kurumlara güvenmeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Detaylar |
|---|---|
| Web siteleri | https://www.dineroya.co/, https://www.rapiplata.co, https://home.parkwaysas.co/, https://www.rapiplata.pe/ |
| Yük URL’si | https://t.copii.co/9Yepe |
| Rapiplata SHA256 | D2413262042FA01E679795298D4541A114A73574C09D93240BE64303946FC7F4 (ve diğerleri) dahil olmak üzere çoklu karmalar |
| SHA256 Hızlı Kredi | F19C438D98921E5CB46839528FE51F98EB1670A20B3F7CAD40783CC5A6156CA (ve diğerleri) dahil olmak üzere çoklu karmalar |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin