Se trata de una plataforma que fue creada por los ciberdelincuentes para sacar provecho de la información de los usuarios y, utilizando el nombre de la famosa aplicación de domicilios, terminan haciendo de las suyas con los datos robados.
Así lo alerta la firma de seguridad Eset, que detalló cómo funciona el método de los atacantes para aprovecharse de la necesidad e ilusión de muchos usuarios a través de Internet. Según describe esa empresa especializada en seguridad informática, en 2023 creció el número de estas ‘apps’ maliciosas que recopilan y exflitran datos confidenciales de las víctimas, eludiendo los controles de Google Play, y que afectan a personas de varios países, entre ellos México, Colombia, Chile y Perú.
Los expertos explican que las aplicaciones estaban disponibles en Google Play, pero actualmente se comercializan a través de redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros.
Ante esto, y como socio de Google App Defense Alliance, Eset identificó y denunció a Google 18 aplicaciones SpyLoan que tenían más de 12 millones de descargas en Google Play y que fueron posteriormente eliminadas 17 de ellas. La última aplicación identificada por ESET todavía está disponible en Google Play, pero como sus desarrolladores cambiaron sus permisos y funcionalidades, ya no se detecta como una aplicación SpyLoan.
“Es importante tener en cuenta que cada instancia de una aplicación SpyLoan, independientemente de su origen, se comporta de forma idéntica. Si los usuarios descargan una aplicación van a experimentar las mismas funciones y se enfrentarán a los mismos riesgos, sin importar de dónde obtuvieron la aplicación. No interesa si la descarga procede de un sitio web sospechoso, de una tienda de aplicaciones de terceros o incluso de Google Play: el comportamiento de la aplicación será el mismo en todos los casos.”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, en un comunicado enviado a medios.
(Vea también: Google lanzó nueva función (gratis) para liberar espacio en el celular)
Cómo funciona el “Rapicrédito” y por qué es peligroso en Colombia
Esa misma firma de seguridad detalló que una de las plataformas más peligrosas funciona en el ecosistema colombiano desde 2020 e, inicialmente, solo se presentaban casos aislados. Sin embargo, la presencia de aplicaciones de préstamos maliciosas creció y, finalmente, se comenzaron a detectar en Google Play, la App Store de Apple y en sitios web dedicados a estafas.
“Este enfoque multiplataforma maximizó su alcance y aumentó las posibilidades de participación de los usuarios, aunque estas aplicaciones fueron retiradas posteriormente de las tiendas de aplicaciones oficiales”, asegura Eset.
Pero, ¿cómo funciona Rapicrédito? Según esa firma, para atraer a las víctimas, los delincuentes promocionan activamente estas aplicaciones maliciosas con mensajes SMS y en redes sociales populares como X (Twitter), Facebook y YouTube. Aprovechando esta inmensa base de usuarios, los estafadores pretenden atraer a víctimas desprevenidas que necesitan ayuda financiera.
“Otro aspecto alarmante de algunas aplicaciones SpyLoan es la suplantación de proveedores de préstamos y servicios financieros de buena reputación mediante el uso indebido de nombres y marcas de entidades legítimas”, describe Gutiérrez Amaya, de ESET Latinoamérica.
Una vez que el usuario instala una aplicación como “Rapicrédito”, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo. A continuación, la aplicación solicita el registro del usuario, que normalmente se realiza mediante la verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estos formularios de registro seleccionan automáticamente el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que sólo las personas con números de teléfono registrados en el país objetivo puedan crear una cuenta.
(Vea también: Cómo ponerle clave a las aplicaciones en el celular Android y qué beneficios puede traer)
Una vez verificado el número de teléfono, los usuarios acceden a la función de solicitud de préstamos de la aplicación. Para completar el proceso de solicitud, los usuarios se ven obligados a proporcionar una gran cantidad de información personal, incluyendo detalles de dirección, información de contacto, prueba de ingresos, información de la cuenta bancaria, e incluso subir fotos del anverso y reverso de sus documentos de identidad, y un selfie.
Como se evidencia en las siguientes capturas de pantalla:
Rappi responde sobre “Rapicrédito” y aclara qué servicios ofrece
Pulzo se contactó con Rappi sobre esta modalidad de estafa utilizando algunas de las iniciales de la compañía y aclaró que no presta ningún servicio de préstamos en Colombia. “Solo tenemos Rappicard y Rappicuenta. Créditos no hacemos”, aclaró la plataforma.
LO ÚLTIMO
.svg)
