Check Point Research

 CHECK POINT RESEARCH ALERTA SOBRE LA APP DE PRÉSTAMOS RAPIPLATA: ELIMINADA DE LAS TIENDAS OFICIALES, PERO AÚN ACTIVA FUERA DE ELLAS

·         RapiPlata opera a través de portales web de terceros que la hacen pasar por legítima, robando información masiva de los dispositivos infectados

·         La amenaza fue identificada en febrero de 2025 gracias al modelo de machine learning de Harmony Mobile

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha detectado una aplicación financiera maliciosa conocida como RapiPlata, asociada a una campaña global de robo de datos y extorsión digital. A pesar de haber sido eliminada de Google Play Store y App Store, esta app sigue operando a través de portales web de terceros que la hacen pasar por legítima.

La amenaza fue identificada en febrero de 2025 gracias al modelo de machine learning de Harmony Mobile, el cual marcó la app como maliciosa antes incluso de su ejecución. RapiPlata acumuló más de 150.000 descargas combinadas entre Android e iOS y llegó a ocupar un puesto entre las 20 aplicaciones más descargadas en la categoría de Finanzas en Colombia, según SimilarWeb. El análisis de Check Point Research ha revelado que la app accedía y exfiltraba datos sensibles como mensajes SMS, registros de llamadas, eventos del calendario, contactos y aplicaciones instaladas.

Numerosas víctimas reportaron prácticas abusivas por parte de la app, incluyendo mensajes amenazantes y reclamos falsos de préstamos no solicitados. Algunos testimonios afirman haber recibido correos intimidatorios o que sus contactos fueron alertados de una supuesta deuda inexistente. Estas prácticas evidencian una campaña de chantaje basada en ingeniería social y robo de información personal.

Análisis técnico y relación con campañas anteriores

La app presenta comportamientos característicos del malware SpyLoan, como el abuso de permisos bajo el pretexto de análisis crediticio, escaneo de SMS por palabras clave y descarga automática de cargas maliciosas desde botones falsos de Google Play. Investigaciones adicionales revelaron vínculos con campañas anteriores como Préstamo Rápido, eliminada en 2023, y confirmaron similitudes en el código fuente y la infraestructura de comando y control (C2).

Aunque retirada de las tiendas oficiales, RapiPlata continúa activa desde su sitio web oficial, el cual redirige al usuario a un enlace externo (https[:]//t[.]copii[.]co/9YEPe) que descarga una versión no certificada de la app. Esta sigue robando información masiva de los dispositivos infectados, incluyendo SMS completos, registros de llamadas, calendarios, apps instaladas y contactos.

Incluso palabras genéricas como “día”, “hasta” o “por” eran usadas como filtros para exfiltrar información, lo que sugiere una recopilación masiva y no específica. Algunas versiones ignoraban los filtros por completo, subiendo todos los SMS indiscriminadamente.

“RapiPlata se disfrazó de servicio financiero legítimo, engañando a miles de usuarios y demostrando cómo los actores maliciosos pueden explotar la confianza del usuario”, señala Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software “Nuestra tecnología basada en IA es clave para anticipar y neutralizar estas amenazas en tiempo real”.

Riesgos para dispositivos iOS, posibles brechas corporativas y cómo protegerse frente a estas amenazas

Aunque iOS goza de mayor reputación en seguridad, esta app lograba acceder a datos personales sensibles como calendarios, SMS y apps instaladas, que pueden ser utilizados en ataques dirigidos contra empresas. Acceder a enlaces de Zoom, nombres de reuniones o datos sobre herramientas instaladas permite a los atacantes planificar campañas de spear-phishing, robo de credenciales o infiltración en reuniones confidenciales sin ser detectados.

Casos como RapiPlata demuestran que incluso plataformas reputadas como App Store no son inmunes a amenazas sofisticadas. La detección de esta app fue posible gracias a la colaboración entre Harmony Mobile y ThreatCloud AI, lo que permitió no solo identificar el archivo APK, sino también su comportamiento global. La detección previa a la ejecución y el bloqueo de comunicaciones maliciosas evitaron que se concretaran los ataques.

Para protegerse ante estas amenazas, Check Point Software recomienda a usuarios y organizaciones adoptar una postura proactiva y multifacética de ciberseguridad:

·         Instalar solo desde fuentes verificadas: evitar APKs de terceros y verificar que el desarrollador sea confiable.

·         Revisar los permisos solicitados: desconfía si una app financiera pide acceso a SMS, llamadas o contactos.

·         Cuestionar ofertas poco realistas: promesas de préstamos sin requisitos o con intereses muy bajos suelen ser engañosas.

·         Evitar ingresar datos sensibles en entornos no seguros: nunca compartas información personal desde enlaces dudosos.

·         Usar soluciones de seguridad móvil avanzadas: herramientas como Harmony Mobile detectan y bloquean amenazas antes de que actúen.

·         Formarse en ciberseguridad básica: conocer tácticas comunes como phishing o smishing ayuda a evitar ser víctima.

·         Mantener dispositivos actualizados: las actualizaciones corrigen fallos que pueden ser explotados.

·         Aplicar políticas de seguridad en entornos corporativos: controlar qué apps se instalan y monitorizar accesos protege la información empresarial.