RapiPlata惡意貸款App感染逾15萬手機 遭下架後仍能運作

記者孫敬／編譯

近期一項大規模的資安威脅浮出水面，一款名為「RapiPlata」的惡意貸款應用程式，偽裝成合法的金融服務，已成功感染全球逾15萬台iOS和Android裝置，目前該應用程式已被官方應用商店下架。據資安公司Check Point研究指出，這款App在哥倫比亞地區的金融類別中，曾擠進SimilarWeb平台的前20名，約有10萬名受害者從Google Play商店下載，其餘則透過Apple App Store取得。

延伸閱讀：資安機構曝超過20款惡意程式攻陷Google Play！專竊虛擬錢包助記詞

RapiPlata包裝成快速貸款服務，實則暗藏全面監控與資料竊取

「RapiPlata」在介面上聲稱提供快速貸款服務，專門針對哥倫比亞用戶。然而，在其看似合法的外表下，卻隱藏著強大的資料竊取能力。一旦安裝，該App會要求遠超出貸款處理所需的權限，包括存取簡訊、通話紀錄、行事曆事件，甚至已安裝的應用程式列表。儘管App聲稱這些權限是用於信用評估和繳款提醒，但實際上卻是對用戶裝置進行全面監控。

Check Point研究人員在2025年2月，透過Harmony Mobile檢測工具發現了這款惡意應用程式，並確認「RapiPlata」是一個更大規模「SpyLoan」（間諜貸款）惡意軟體行動的一部分，與先前已識別的威脅有所關聯。令人擔憂的是，該惡意軟體在VirusTotal上的檢測覆蓋率極低，使其得以在數月內未被察覺地運作。

「RapiPlata」受害者面臨的後果遠不止於資料被盜。許多用戶反映，即使他們從未收到任何實際貸款，攻擊者仍會頻繁透過訊息和電子郵件進行騷擾，威脅將其列為逾期債務人。更惡劣的是，App操作者還會利用竊取來的通訊錄，聯繫受害者的親朋好友，謊稱受害者有欠款，進而損害受害者的個人聲譽。這些結合了技術利用與社會工程的策略，對受影響用戶造成了數位和現實生活中的雙重傷害。

RapiPlata下架後仍透過第三方管道散佈，潛在威脅持續

「RapiPlata」已於2025年3月從官方商店移除，但該應用程式的威脅並未完全消失。該App官方網站至今仍可運行，並以看似合法的Google Play下載按鈕，將用戶重新導向至外部網站進行未經授權的App安裝，這種迂迴的散佈鏈（例如使用https//tcopiico/9YEPe）顯示了詐騙集團維持惡意活動的決心。

這款惡意App最複雜的功能之一，便是其全面的資料外洩機制。首次啟動時，「RapiPlata」會掃描所有簡訊，表面上是為了評估財務狀況，但其關鍵字列表卻揭示了更廣泛的監控意圖，甚至包含「día」（天）、「hasta」（直到）、「para」（為了）等與財務關聯性極低的西班牙語常用詞彙。這種廣泛的掃描實際上捕捉了幾乎所有通訊內容，並上傳至駭客的命令與控制伺服器進行分析和利用。

對於企業用戶而言，行事曆資料的外洩尤其危險，因為其中常包含Zoom會議連結和簡報附件。攻擊者可利用這些情報在未被察覺的情況下加入敏感的企業討論，從而竊取智慧財產權和戰略業務資訊。其他像是通話紀錄，則能幫助駭客建立社交和專業關係網絡圖，有利於針對受害者通訊錄中的聯絡人發動魚叉式網路釣魚攻擊。

資料來源：Cyber Security News、Check Point

瀏覽 119 次