СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 декабря
#ИБ

NexusRoute: Android-троян и фишинг против госуслуг Индии

По данным CYFIRMA, хакерская кампания NexusRoute представляет собой «скоординированную и финансово мотивированную атаку», направленную на службы правительства Индии, в частности на сервисы mParivahan и e-Challan. Операция сочетает вредоносное ПО для Android и фишинг, используя доверие пользователей к государственным сервисам для распространения вредоносных APK через репозитории и страницы GitHub, а также сотни фишинговых доменов.

Краткая суть атаки

Злоумышленники создают поддельные репозитории и страницы на GitHub, размещают вредоносные APK и запускают масштабную фишинговую кампанию, целью которой являются пользователи транспортных сервисов и связанные с ними платежные операции. Для вовлечения жертв используются поддельные страницы верификации и оплаты, включая транзакции через UPI и традиционные банковские переводы.

Жизненный цикл операции

  • Создание поддельных GitHub-репозиториев и сотен фишинговых доменов для массового охвата.
  • Социальная инженерия: побуждение пользователей разрешить установку из «unknown sources» и скачать APK вне официальных магазинов.
  • Многоступенчатая загрузка вредоносных компонентов: первичный загрузчик динамически расшифровывает и подгружает вторичные полезные нагрузки с помощью DexClassLoader.
  • Переход к выполнению машинного кода через JNI, что затрудняет статический и динамический анализ.
  • Установление постоянной связи с командно‑управляющей инфраструктурой через устойчивые WebSocket-каналы.

Технический профиль вредоносного ПО

Фреймворк NexusRoute обладает высокой степенью модульности и самоподдержки. Ключевые технические особенности включают:

  • Динамическая загрузка кода и полная обфускация для скрытия логики и затруднения анализа.
  • Использование Android‑функций для закрепления: BroadcastReceivers, foreground services и других механизмов долгосрочного присутствия.
  • Выполнение части логики на нативном уровне через JNI, что усложняет обратную разработку и мониторинг.
  • Постоянные WebSocket-соединения для управления и передачи данных в реальном времени.
  • Возможности перехвата и кражи конфиденциальной информации: перехват SMS (включая OTP), сбор банковских учетных данных и журналов вызовов, доступ к контактам, отслеживание GPS.
  • Использование наложений пользовательского интерфейса (UI overlays), имитирующих законные государственные сервисы, для фишинга учетных данных и проведения keylogging‑атак.
  • Генерация журналов и их эксфильтрация через встроенную инфраструктуру управления.

Тактики распространения и обмана

  • Распространение через поддельные репозитории и страницы на GitHub, где пользователям предлагаются APK для загрузки.
  • Фишинговые домены и страницы, имитирующие процедуры верификации и оплаты сервисов транспорта.
  • Социальная инженерия: убеждение разрешить установку приложений из неизвестных источников, что снимает защитные барьеры стандартных магазинов приложений.

Последствия для пользователей и служб

  • Кража OTP и банковских учетных данных ведет к прямым финансовым потерям через UPI и банковские переводы.
  • Долгосрочная персистентность вредоносного ПО делает восстановление устройства и учетных записей более сложным.
  • Массовые фишинговые страницы повышают риск компрометации широкого круга пользователей служб mParivahan и e-Challan.

Почему это важно

Операция NexusRoute демонстрирует полный цикл киберпреступности: от подготовки фишинговой инфраструктуры до сложных технических приёмов сокрытия и нативного выполнения кода. Комбинация социальной инженерии и технически сложных механизмов делает кампанию особенно опасной для пользователей, полагающихся на официальные государственные цифровые сервисы.

Рекомендации для пользователей

  • Не устанавливайте APK из неизвестных источников. Загружайте приложения только из официальных магазинов и проверенных каналов.
  • Проверяйте URL и доменные имена перед вводом личных или платежных данных — фишинговые страницы часто имитируют официальные сервисы.
  • Включите защиты платформы: Play Protect, автоматические обновления ОС и антивирусные решения для мобильных устройств.
  • Не предоставляйте разрешения SMS, доступ к контактам и геопозиции приложениям, которым вы не доверяете. Следите за неожиданными запросами прав.
  • Мониторьте банковские операции и уведомления UPI; при подозрительных транзакциях немедленно связывайтесь с банком.

Вывод

Кампания NexusRoute, выявленная CYFIRMA, — пример целенаправленной, технически продвинутой и социально ориентированной угрозы. Защититься можно, но это требует внимательности пользователей, строгого соблюдения правил установки приложений и своевременного обновления систем и средств защиты.

По данным CYFIRMA, NexusRoute использует «многоэтапный загрузчик, нативный код и персистентные каналы связи», что делает кампанию сложной для обнаружения и нейтрализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: