RTO Challan: Android-дроппер с VPN, C2 и перехватом OTP

Новая масштабная кампания мошенников вращается вокруг вредоносного Android‑приложения, маскирующегося под официальное уведомление о нарушении правил дорожного движения. Приложение под названием RTO Challan / e-Challan распространяется через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и реализовано как двухэтапный дроппер с развитой обфускацией и скрытыми механизмами установки. По итогам технического анализа обнаружены сложные методы сокрытия, скрытая сеть команд‑и‑контроля и широкие возможности для кражи конфиденциальных и финансовых данных.

Как работает схема

• Распространение через WhatsApp — пользователям приходит сообщение с ссылкой или APK, замаскированным под уведомление о штрафе.
• Двухэтапная установка: первоначальное приложение выступает дроппером и в скрытом режиме подгружает дополнительные вредоносные компоненты, остающиеся невидимыми в списке установленных приложений.
• Использование пользовательского VPN-туннеля для сокрытия сетевой активности и организации скрытой связи с инфраструктурой управления (C2).
• Скрытая регистрация сервисов и управление разрешениями для обеспечения постоянного контроля над устройством.

Ключевые технические находки

Анализ показывает, что приложение применяет техники обфускации на уровне управления потоком, в частности упоминание ApkControlFlowConfusion, чтобы скрыть свою внутреннюю логику и усложнить анализ. Скрытый процесс установки организован таким образом, что пользователь, как правило, не осознаёт, какие дополнения устанавливаются и какие капабилити получает вредонос.

• Регистрация пользовательского VPN‑сервиса позволяет перехватывать и манипулировать сетевым трафиком, маскировать командную связь и обходить средства защиты.
• Строки конфигурации и URL C2 фрагментированы и кодируются в Base64 — это усложняет обнаружение и отслеживание конечных точек.
• Один из идентифицированных доменов команд‑и‑контроля — jsonserv.xyz, который используется для управления заражёнными устройствами и сбора отфильтрованных данных.

Разрешения и злоупотребления

Вредоносный модуль запрашивает набор критических разрешений Android, что даёт ему широкие возможности для мошенничества:

• READ_SMS, SEND_SMS — перехват и отправка SMS (включая OTP).
• CALL_PHONE — инициирование звонков и возможная настройка переадресации.
• READ_PHONE_STATE — получение информации о состоянии телефона и номерах SIM.

Используя эти права, злоумышленники могут перехватывать одноразовые пароли (OTP), отправлять несанкционированные сообщения от имени пользователя, а также манипулировать настройками звонков для дальнейшей аферативной эксплуатации.

Фишинговый платёжный интерфейс и сбор PII

Внутри приложения реализован мошеннический платёжный интерфейс, имитирующий легитимные потоки оплаты. Через него злоумышленники запрашивают конфиденциальную личную информацию (PII) и финансовые данные, включая номера Aadhaar, данные карт и учетные данные UPI, с целью последующего мошеннического использования.

Профилирование и мультисим‑функциональность

Дополнительный анализ указывает на способность вредоносного ПО собирать подробные профильные данные устройств и телефонные номера с нескольких SIM‑карт, что расширяет потенциал для целевых мошеннических операций и компрометации финансовых сервисов.

Поведение при динамическом анализе

В ходе динамического анализа приложение демонстрирует вводящие в заблуждение уведомления, побуждающие пользователя загрузить дополнительные «обновления» — на самом деле это новая порция вредоносного кода. Инфраструктура кампании централизована: наблюдаемые домены имеют общие характеристики, что указывает на скоординированные усилия злоумышленников.

«RTO Challan / e-Challan функционирует как двухэтапный дроппер с расширенной защитой от обфускации и скрытыми методами установки»

Последствия для пострадавших

• Кража OTP и банковских реквизитов — потенциальные финансовые потери.
• Утечка идентификационных данных (Aadhaar) — риск дальнейших мошеннических регистраций и социальных атак.
• Постоянный контроль над устройством через скрытые сервисы и VPN — долгосрочная компрометация приватности.

Рекомендации для пользователей и организаций

• Не устанавливайте APK из ссылок в сообщениях WhatsApp или других мессенджерах — используйте только официальные магазины приложений.
• Отказывайтесь от предоставления приложению прав на установку VPN, READ_SMS, SEND_SMS, CALL_PHONE и других критических разрешений, если это не оправдано функционалом официального сервиса.
• Проверяйте легитимность уведомлений о штрафах через официальные порталы RTO или соответствующие сервисы.
• Используйте и обновляйте средства защиты: Google Play Protect и антивирусные решения, внимательно следите за запросами разрешений.
• При подозрении на компрометацию отключите устройство от сети, удалите подозрительные приложения и смените пароли/учётные данные; при необходимости обратитесь в банк и оператора связи.
• Сообщайте о мошеннических ссылках и приложениях в службы поддержки WhatsApp и в соответствующие регуляторные органы.

Кампания вокруг RTO Challan / e-Challan демонстрирует, насколько опасной может быть комбинация социальной инженерии и технически сложных методов сокрытия. Внимательность пользователей и своевременные меры защиты остаются ключом к снижению риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.