TokyoBlackHatNews

gbhackers.com 4分で読了

マルウェアがmParivahanおよびe-Challanアプリを装い、Androidユーザーが危険にさらされる

NexusRouteと呼ばれる高度なAndroidマルウェアキャンペーンが、インド政府省庁、mParivahan、e-Challanサービスになりすましてインドのユーザーを積極的に標的にし、認証情報を盗み、大規模な金融詐欺を実行しています。

この作戦はフィッシング、マルウェア、監視機能を組み合わせています。GitHub上でホストされた悪意のあるAPKと、偽のチャランおよび₹1の検証ワークフローを実行するフィッシングドメイン群を通じて配布されています。

このキャンペーンは金銭目的で、プロフェッショナルに設計されており、高度な難読化、動的コードローディング、永続的なバックグラウンド実行を悪用して検知を回避し、感染端末を長期的に制御し続ける、多段階のネイティブ支援型Androidリモートアクセス型トロイの木馬(RAT)を使用しています。

盗まれるデータには、UPI PIN、OTP、カード情報、銀行の認証情報、通話ログ、SMS、連絡先、端末詳細、GPS位置情報が含まれ、リアルタイムの詐欺と監視のために集中型のコマンド&コントロール(C2)インフラへ送られます。

NexusRouteはGitHub Pages上にホストされたフィッシングページと、rtochallan[数字].store、.shop、.onlineといった類似ドメインから始まり、いずれも「NexGen mParivahan」としてブランド化されています。

これらのページはユーザーに携帯番号と車両番号の入力を促し、その後、偽の₹1「所有者確認」支払いを要求します。

その後、被害者は偽のUPI、カード、ネットバンキングのインターフェースへリダイレクトされ、UPI PINを含む機微な金融データを収集されます。これにより、追加のユーザー操作なしに不正な引き落としを直接実行できるようになります。

Image
NexGen mParivahan.

中心的なおとりは、GitHubからダウンロードされる偽のParivahan APKです。このアプリは被害者に不明な提供元からのインストールを有効にするよう指示し、その後、多段階ローダーを展開して隠されたDEXペイロードを復号・読み込みし、JNI経由でネイティブの.soライブラリに実行を引き渡します。

マルウェアがAndroidユーザーを標的に

このマルウェアは、REQUEST_INSTALL_PACKAGES、SYSTEM_ALERT_WINDOW、READ_SMS、SEND_SMS、READ_CONTACTS、全ファイルアクセス、アクセシビリティサービスなど、幅広い高リスク権限を宣言・要求します。また、解析を回避するためにエミュレーターやroot化環境のチェックも行います。

コードはサービスの開始を試み、その後ユーザーをMANAGE_APP_ALL_FILES_ACCESS_PERMISSIONの設定ページへリダイレクトします。

Image
ファイルアクセス権限の悪用。

インストール後、NexusRouteはBroadcastReceiver、フォアグラウンドサービス、スケジュールされたジョブ、OEM固有の自動起動設定、ウェイクロック、バッテリー最適化の除外を悪用し、継続的な実行を確実にします。

一部の端末では、デフォルトのホームアプリ設定を操作し、隠しペイロードがインストールされるまでユーザーをシステム画面に閉じ込めます。

Image
Google play service.

その後、偽のGoogle Play 風の更新プロンプトやセキュリティ警告を表示し、ユーザーをだましてアクセシビリティなどの機微な権限を付与させ、以降のプロンプトをバックグラウンドで静かに自動承認します。

マルウェアの機能には、SMSの傍受と流出、デュアルSIMのプロファイリングと標的型SMS送信、キーロギング、 MediaProjectionによる画面キャプチャ、カメラとマイクの遠隔制御、ファイルへのアクセスと削除、継続的なGPS追跡が含まれます。

Image
デュアルSIM悪用によるSMS送信機能

Socket.IOベースのC2チャネルは自動再接続により永続的なオペレーター制御を維持し、詳細な端末メタデータを付加して各被害者を一意にフィンガープリントします。

被害者への影響

ホスティング基盤の解体、C2サーバーの妨害、一般向け注意喚起の発出、関連詐欺の取り締まりのために、CERT、法執行機関、通信事業者、銀行、プラットフォーム提供者による協調行動が緊急に必要です。

OSINTにより、マルウェアのクラッシュレポートおよびデータ流出ルーチンが、メールアドレス[email protected]に結び付けられています。このアドレスは、「Gymkhana Studio」ブランドの下で展開される、Android向け難読化、保護、スパイウェアツール群からなる、より広範なエコシステムと関連しています。

公開ブログ、開発者プロフィール、アーカイブされた監視用コントロールパネルのインターフェースは、これが低スキルの詐欺キットではなく、半商用のAndroidスパイウェアおよび詐欺プラットフォームの一部であることを示唆しています。

GitHubリポジトリ悪用の規模、自動化されたフィッシングドメイン生成、集中管理されたRATダッシュボードは、成熟した産業化された作戦であることを示しています。

UPIおよびカード決済への直接的な影響、インド政府の重要なデジタルブランドの悪用、そして監視能力を踏まえると、NexusRouteは国家規模の金融およびサイバー監視上の脅威を構成します。

翻訳元: https://gbhackers.com/android-users-2/

ソース: gbhackers.com
#Androidマルウェア #e-Challan偽装 #GitHub Pages悪用 #mParivahan偽装 #NexusRoute #UPI不正送金 #インド #フィッシング詐欺 #リモートアクセス型トロイの木馬(RAT) #個人情報窃取・監視

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚