Μια εξελιγμένη καμπάνια κακόβουλου λογισμικού Android με το όνομα NexusRoute στοχεύει ενεργά τους Ινδούς πολίτες υποδυόμενος τις κυβερνητικές υπηρεσίες.
Η επιχείρηση χρησιμοποιεί ψεύτικες εκδόσεις των επίσημων εφαρμογών mParivahan και e-Callan για τη συλλογή διαπιστευτηρίων σύνδεσης και οικονομικών πληροφοριών από ανυποψίαστους χρήστες.
Αυτή η συντονισμένη επίθεση συνδυάζει ιστότοπους ηλεκτρονικού ψαρέματος (phishing), δόλιες διεπαφές πληρωμών και προηγμένο κακόβουλο λογισμικό για την εκτέλεση μιας επιχείρησης κλοπής πολλαπλών σταδίων που διακυβεύει προσωπικά και τραπεζικά δεδομένα σε εθνική κλίμακα.
Η καμπάνια λειτουργεί μέσω ενός καλά σχεδιασμένου δικτύου διανομής που φιλοξενείται στο GitHub, όπου εκατοντάδες αποθετήρια ψεύτικων εφαρμογών εξυπηρετούν κακόβουλα πακέτα Android σε πιθανά θύματα.
Οι φορείς απειλών δημιουργούν πειστικά αντίγραφα κυβερνητικών πυλών και χρησιμοποιούν τομείς phishing που μιμούνται νόμιμες υπηρεσίες.
.webp.jpeg "Νέο κακόβουλο λογισμικό Android που μιμείται ως mParivahan και e-Callan επιτίθεται σε χρήστες Android για κλοπή διαπιστευτηρίων σύνδεσης")
Μόλις οι χρήστες εγκαταστήσουν την ψεύτικη εφαρμογή, γίνονται στόχοι υποκλοπής SMS, κλοπής οικονομικών διαπιστευτηρίων και μη εξουσιοδοτημένων οικονομικών συναλλαγών.
Το κακόβουλο λογισμικό εκτελεί επίσης εκτεταμένη επιτήρηση συσκευών, καταγράφει δεδομένα τοποθεσίας, προσωπικές επαφές και ευαίσθητα αρχεία καταγραφής κλήσεων χωρίς να το γνωρίζει ο χρήστης.
Αναλυτές της Cyfirma αναγνωρισθείς το κακόβουλο λογισμικό αφού παρατήρησε τη σύνδεσή του με ένα ευρύτερο εμπορικό οικοσύστημα συσκότισης και επιτήρησης Android.
.webp.jpeg "Νέο κακόβουλο λογισμικό Android που μιμείται ως mParivahan και e-Callan επιτίθεται σε χρήστες Android για κλοπή διαπιστευτηρίων σύνδεσης")
Η ερευνητική ομάδα εντόπισε την επιχείρηση σε μια επαγγελματικά συντηρημένη υποδομή και όχι σε απλή ευκαιριακή απάτη.
Τα στοιχεία συνδέουν το κακόβουλο λογισμικό με κοινότητες προγραμματιστών που ειδικεύονται σε εργαλεία προστασίας Android και τεχνικές τροποποίησης εφαρμογών, επιβεβαιώνοντας αυτό ως μια επιχείρηση απάτης και επιτήρησης μεγάλης κλίμακας που υποστηρίζεται από τεχνική τεχνογνωσία και εμπορικά εργαλεία.
Η επίθεση ξεκινά όταν τα θύματα συναντούν ψεύτικες σελίδες λήψης mParivahan που φιλοξενούνται σε πλατφόρμες GitHub Pages.
Αυτοί οι ιστότοποι ηλεκτρονικού “ψαρέματος” εμφανίζουν πειστικά κυβερνητικά σήματα και λογότυπα, δίνοντας οδηγίες στους χρήστες να ενεργοποιήσουν την εγκατάσταση από άγνωστες πηγές στις συσκευές τους Android.
Το αρχικό ωφέλιμο φορτίο λειτουργεί ως dropper, ζητώντας άδειες που δεν θα ζητούσαν ποτέ οι νόμιμες κυβερνητικές εφαρμογές.
Αυτές οι άδειες περιλαμβάνουν την ανάγνωση SMS, τις υπηρεσίες προσβασιμότητας, τη δημιουργία παραθύρου επικάλυψης και την πλήρη πρόσβαση σε αρχεία—δυνατότητες που, αφού παραχωρηθούν, επιτρέπουν τον πλήρη έλεγχο της συσκευής.
Κατανόηση του μηχανισμού μόλυνσης και της στρατηγικής επιμονής
Το κακόβουλο λογισμικό χρησιμοποιεί ένα εξελιγμένο σύστημα φόρτωσης πολλαπλών σταδίων που έχει σχεδιαστεί για να παρακάμπτει τα συστήματα ανίχνευσης και να περιπλέκει την αντίστροφη μηχανική.
Κατά την εγκατάσταση, η εφαρμογή dropper φορτώνει αμέσως μια εγγενή βιβλιοθήκη που ονομάζεται npdcc μέσω Java Native Interface.
Αυτή η προσέγγιση μετακινεί την κρίσιμη κακόβουλη λογική σε μεταγλωττισμένο κώδικα, καθιστώντας τη στατική ανάλυση σημαντικά πιο δύσκολη για τους ερευνητές ασφάλειας.
Το κακόβουλο λογισμικό χρησιμοποιεί το DexClassLoader για να φορτώσει δυναμικά πρόσθετα πακέτα Android που είναι αποθηκευμένα εξωτερικά στη συσκευή, επιτρέποντας στους εισβολείς να αναπτύξουν ενημερωμένα ωφέλιμα φορτία χωρίς να απαιτούν βήματα εγκατάστασης από τον χρήστη.
Η επιμονή είναι η ισχυρότερη τεχνική πτυχή της καμπάνιας, καθώς το κακόβουλο λογισμικό χρησιμοποιεί πολλαπλές μεθόδους ειδικά για το Android για τη διατήρηση της μόνιμης εκτέλεσης σε μολυσμένες συσκευές.
Καταχράται τη λειτουργικότητα του BroadcastReceiver για να ενεργοποιείται αυτόματα κατά την εκκίνηση του συστήματος, δημιουργεί υπηρεσίες στο προσκήνιο που μεταμφιέζονται ως νόμιμα εργαλεία δημιουργίας αντιγράφων ασφαλείας ή ασφάλειας και εκμεταλλεύεται μηχανισμούς αυτόματης εκκίνησης ειδικά για OEM σε συσκευές Xiaomi και OPPO.
Το κακόβουλο λογισμικό εμφανίζει ψεύτικες ειδοποιήσεις ασφαλείας που μιμούνται τις ενημερώσεις του Google Play, εξαπατώντας τους χρήστες να εγκρίνουν τις άδειες που συνήθως αρνούνταν.
.webp.jpeg "Νέο κακόβουλο λογισμικό Android που μιμείται ως mParivahan και e-Callan επιτίθεται σε χρήστες Android για κλοπή διαπιστευτηρίων σύνδεσης")
Μόλις παραχωρηθούν τα δικαιώματα υπηρεσίας προσβασιμότητας, το κακόβουλο λογισμικό εγκρίνει αυτόματα όλα τα δικαιώματα χρόνου εκτέλεσης που απομένουν, συμπεριλαμβανομένης της πρόσβασης στην κάμερα, το μικρόφωνο και το αρχείο, χωρίς περαιτέρω αλληλεπίδραση με τον χρήστη.
Στη συνέχεια, η εφαρμογή παρουσιάζει μια ψευδή ειδοποίηση ασφαλείας που ισχυρίζεται ότι εντοπίστηκε μια μη υποστηριζόμενη εφαρμογή, κατευθύνοντας τους χρήστες μέσω μιας ψεύτικης ροής απεγκατάστασης που αφαιρεί μόνο το σταγονόμετρο, ενώ διατηρεί το κύριο ωφέλιμο φορτίο κρυφό και λειτουργικό.
Αυτή η ολοκληρωμένη στρατηγική επιμονής διασφαλίζει ότι το κακόβουλο λογισμικό παραμένει ενεργό ακόμα και μετά από επανεκκίνηση πολλαπλών συσκευών και επιβιώνει από τυπικές προσπάθειες αφαίρεσης από τους χρήστες.
Τα κλεμμένα διαπιστευτήρια ρέουν στους διακομιστές εντολών και ελέγχου των εισβολέων μέσω καναλιών επικοινωνίας Socket.IO.
Το κακόβουλο λογισμικό μεταδίδει αναγνωριστικά συσκευών, στοιχεία τραπεζικού λογαριασμού, PIN UPI και μηνύματα SMS που περιέχουν κωδικούς πρόσβασης μίας χρήσης σε κεντρικούς πίνακες ελέγχου παρακολούθησης.
Με αυτό το πλήρες σύνολο δεδομένων, οι εισβολείς εκτελούν μη εξουσιοδοτημένες συναλλαγές και πωλούν παραβιασμένες πληροφορίες σε εγκληματικά δίκτυα.
Έρευνα δημόσιας νοημοσύνης αποκαλύπτει αρχειοθετημένες διεπαφές του πίνακα ελέγχου που εκθέτουν χαρακτηριστικά για παρακολούθηση GPS, ενεργοποίηση μικροφώνου και απομακρυσμένη λήψη οθόνης, επιβεβαιώνοντας ότι η λειτουργία εκτείνεται πέρα από την οικονομική κλοπή σε ολοκληρωμένη παρακολούθηση κινητού.
