チェック・ポイント、機密データ窃取と融資詐欺機能を併せ持つ悪質なスパイローンアプリ「RapiPlata」を検出し危険性に警鐘

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）は、今年2月、同社のHarmony Email & Collaboration ResearchチームがモニターしているHarmony Mobile機械学習モデルによる検出エンジンによって、被害者のデバイス上で機密データの窃取と偽装融資による詐欺を実行するスパイローンアプリ「RapiPlata」を特定しました。チェック・ポイントはこのアプリに関する独自の調査結果を公開するとともに、多層的なモバイルセキュリティ対策による警戒を呼びかけています。

概要

• 機密データにアクセス・流出させるスパイローンアプリ：チェック・ポイントはGoogle Play StoreとApple App Storeで配信されていた悪質なスパイローンアプリ「RapiPlata」を検出しました。SMSメッセージ、通話ログ、カレンダーイベントなどの個人の機密データを不正に収集し、サーバにアップロードする機能を備えています。
   

• 公式ストアから削除されるも運営を継続：同アプリはGoogle Play StoreとApple App Storeから合計約15万人の被害者にダウンロードされたと推定されます。現在もGoogle Playを装うサードパーティWebサイトからダウンロードが可能であり、被害者を増やしています。

• 偽装融資サービスによる詐欺の手口を駆使：RapiPlataはコロンビアのユーザーを主にターゲットとし、迅速融資を謳い、与信判断を装って広範な個人データへのアクセス許可を要求します。被害者に対し、債務滞納者として個人情報公開を盾に脅迫し詐欺による融資の返済を迫るなど、組織的な詐欺スキームが確認されました。

悪質なスパイ・ローンアプリ「RapiPlata」を発見

チェック・ポイントは2025年2月、同社のHarmony Email & Collaboration Researchチームの検出エンジンにより、悪質なスパイローンアプリ「RapiPlata」を発見しました。同アプリはGoogle PlayストアとApple App Storeの両方で配信され、合計約15万人のユーザーがダウンロードしたと推定されます。RapiPlataはコロンビアではSimilarwebプラットフォームにおいて金融カテゴリーのトップ20にランクインし、高いユーザーエンゲージメントを記録していました。

チェック・ポイントの分析により、RapiPlataはSMSメッセージ、通話ログ、カレンダーイベント、インストール済みアプリケーションなど、機密性の高いユーザーデータへの不正アクセスを行い、これらの情報を外部サーバーに送信していたことが判明しました。両アプリストアから削除された現在も、同アプリはGoogle Play公式を装ったサードパーティーサイトを通じて配信を継続しており、深刻な脅威となっています。

ユーザーを脅かす不正な融資スキーム
RapiPlataの被害者は債務の滞納者であるというレッテルを貼られ、個人情報へのアクセスや公開を盾に脅迫されるなど、電子メールやメッセージによる嫌がらせにさらされています。こうした手口は低金利に関する誤解を招く内容の宣伝と組み合わせて用いられ、被害者にとって同意した覚えのない融資の返済を迫るための詐欺的なスキームであることが示されています。その影響力の大きさは、公式のアプリストア上に長期にわたり存在していたことからも明らかです。Android版アプリでは問題はさらに深刻となり、被害者のプライバシーを危険にさらす重大なデータ窃盗が確認されています。RapiPlataは、不正なローンの承認、手数料のねつ造、データ窃取など、金融の安全性および個人情報保護の両面で明らかな脅威となっています。 

コード解析と脅威の相関関係
チェック・ポイントは初期の調査を通じて、RapiPlataが「与信判断」を装った権限の乱用や、キーワードベースのSMSのスキャンと流出、偽のGoogle Playボタンによる悪意あるペイロードの自動ダウンロードなど、スパイローンアプリの典型的な特徴を有していることを確認しました。さらに、関連するサンプルについて社内データベースと外部情報源を用いたより幅広い検索を行ったところ、RapiPlataがより大規模なスパイローンマルウェアの一部であることが確認されました。ストア外のAPK配信プラットフォームに転送されるリダイレクトチェーンなど、RapiPlataと同様の悪意ある動作が他のアプリケーションでも確認されています。

過去のスパイローンキャンペーンとの関連性
さらなる分析を通じて、RapiPlataと「Préstamo Rápido」との間の強い類似性が判明しました。Préstamo Rápidoは過去1年以内にGoogle Playから削除されたスパイローンアプリです。これら2つのアプリは、スパイローンの中核となるデータ流出機能はほぼ同じで、異なる点は、シンタックスの変更と、新しいコマンド＆コントロール（C2）サーバーの追加のみでした。これらの変更点が示唆しているのは、検出を回避し、Google Playストアに別の名前で再び侵入しようとする試みです。また、事前調査の結果、RapiPlataのドメインとPréstamo Rápidoのドメインは両方とも同じレジストラーから購入されていたことが判明しました。

悪意ある機能とプライバシー侵害
Google Playから削除されたにもかかわらず、RapiPlataの公式ウェブサイトにはGoogle Playのダウンロードボタンが表示され、被害者を増やしています。このボタンをクリックすると、外部サイト（https[:]//t[.]copii[.]co/9YEPe）にリダイレクトされ、Google Playストアの認証済みアプリの代わりに、外部のバージョンのアプリが自動的にダウンロードされます。このバージョンは、認証済みアプリが持っていたデータ漏えいに関する脆弱性をすべて備えており、これにより開発者は公式アプリストアから除外されても運営を継続できます。チェック・ポイントは、RapiPlataアプリに関連する複数のウェブサイトを確認しました。

このアプリは、融資詐欺だけでなく、大規模なデータ窃取にも関与しています。最初にアプリを起動すると、アプリはすべてのSMSメッセージ、通話履歴、カレンダーのデータをアプリ運営者のサーバーに流出させます。そしてこれらのデータに対する権限について、カレンダーへのアクセスに関しては支払いの督促のために、SMS、通話履歴、インストールされたアプリに関しては与信判断のための分析に必要であると主張します。しかし、このような広範なデータ収集には正当な理由がなく、Google Playのプライバシーポリシーに明確に違反しています。

iOSの個人情報データを企業侵害に活用
SMSメッセージ、通話履歴、カレンダーエントリ、インストールされたアプリのリストといった個人情報の盗難は、表面的にはさほど重大とは見なされない可能性があります。しかし、強固なセキュリティに定評があるiOSでも、こうしたシナリオにおいては脆弱です。強固なOTA（Over-The-Air）や高度なセキュリティフレームワークで保護された組織を標的とする攻撃者は、以下のような個人情報を巧妙なサイバー攻撃の重要な一環として活用できます。 

• SMSメッセージと通話履歴：これらを通じて、認証コード、組織内部の通信、または機密性の高い個人的なやりとりを明らかにできます。攻撃者は傍受された認証メッセージを悪用して二要素認証（2FA）を回避し、重要度の高いビジネスアカウントを効果的に侵害します。さらに、通話履歴を分析することでターゲットの社会的・職業的な関係をマッピングでき、標的を絞り込んだスピアフィッシングやなりすまし攻撃の信ぴょう性と効果を格段に高められます。

• カレンダーのデータ：カレンダーエントリにアクセスすることで、攻撃者はターゲットの日々の活動、会議、出張、企業の機密事項などを把握できます。カレンダーエントリには、Zoomのリンクやプレゼンテーションが添付されていることが多く、攻撃者は機密性の高い議論、企業戦略、ビジネスデータ、知的財産に直接アクセスできるようになります。Zoomのリンクとミーティングのタイトルが明らかになることで、攻撃者が関連性に基づいてミーティングを選択・参加する可能性もあります。

• インストールされたアプリ：インストールされたアプリに関する情報によって、ターゲット個人、また潜在的には組織全体の技術的エコシステムが明らかになります。攻撃者はこの情報を利用して、特定のアプリが持つ既知の脆弱性を悪用したり、被害者が使い慣れたソフトウェアのアップデートを装ってカスタマイズされたマルウェアを作成したりします。このようなアプリベースの標的型攻撃は、一般的なセキュリティの防御を回避するため、iOSデバイスであっても侵入に成功する可能性が大幅に高まります。

これらの一見何の変哲もない個人情報データを総合すると、個人の包括的なインテリジェンスプロファイルが完成します。これにより、攻撃者は高度なソーシャルエンジニアリングからパーソナライズされたゼロデイ攻撃まで、洗練された標的型攻撃の設計が可能になり、最終的には非常に強固なセキュリティ対策さえも回避できるようになります。

スパイローンの脅威への対策

Apple App Storeなどの最も信頼性の高いプラットフォームでさえ、悪意あるアプリケーションと無縁ではありません。今回のRapiPlataの事例が示すように、サイバー犯罪者はセキュリティ対策を回避する方法を見つけ、詐欺アプリを合法的な金融サービスであるかのように偽装しています。

本事例では、チェック・ポイントのソリューションが持つ、製品同士の深い統合と連携によって生まれる強みが強調されています。このアプリを検出した機械学習モデルは、Harmony Mobileのエンジンから得られた行動指標だけでなく、チェック・ポイントのセキュリティエコシステム全体から得られるインサイトを一元化したThreatCloud AIからのデータも考慮しています。こうした連携により、チェック・ポイントの製品はAPKそのものを超えた分析が可能になり、悪意のシグナルとなり得るその他の特徴やイベントを、アプリ上に明示的に存在しない場合にも評価し特定できます。

RapiPlataのような脅威が進化するにつれ、金融や融資に関するアプリをダウンロードする際にユーザーが警戒を保つことは極めて重要です。サイバー犯罪者は多くの場合ユーザーの信頼を悪用し、機密データを窃取します。そのため、アプリは必ず検証済みのソースからのみダウンロードして権限を注意深く確認し、個人データへの過度なアクセスを要求するアプリに十分に注意することが不可欠です。

チェック・ポイントは、業界をリードする脅威インテリジェンスと脅威の検出機能によって、お客様のデバイスと機密情報を新たなモバイル脅威から確実に保護します。包括的な保護のために、個人と組織の両方で、強固なエンドポイント保護とネットワークレベルの防御を組み合わせた多層的なセキュリティ戦略の導入が必要です。

本プレスリリースは、米国時間2025年6月16日に発表されたブログ（英語）をもとに作成しています。

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

 
本件に関する報道関係者からのお問い合わせ 
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp