Мошенники распространяют поддельное приложение "Электронная штраф-книга" через WhatsApp для кражи финансовых данных

Техника атаки и скрытность

Вредоносная программа, распространяемая под названиями "RTO Challan" или "e-Challan", представляет собой двухэтапный дроппер. Изначальное приложение, которое пользователь устанавливает вручную, служит лишь для загрузки и скрытной установки второго, основного вредоносного модуля. Этот финальный пейлоад (полезная нагрузка) использует сложные методы обфускации, в частности инструмент NP ApkControlFlowConfusion, чтобы затруднить анализ и скрыть свой код.

Для обеспечения максимальной скрытности приложение не отображает иконку в меню устройства. Оно запрашивает и получает критически опасные разрешения, включая доступ к SMS, истории звонков и возможность управления вызовами. Кроме того, вредоносная программа регистрирует на устройстве собственную VPN-службу. Это позволяет ей полностью контролировать сетевой трафик, маскируя связь с командным сервером (C2) и обходя защитные механизмы.

Механизм кражи данных и мошенничества

После установки пользователю показывается интерфейс, точно имитирующий легитимное приложение для оплаты штрафов. Сначала злоумышленники собирают личные данные: имя, номер телефона, дату рождения, а также номера Aadhaar и PAN. Затем предлагается оплатить символический штраф в размере 1 индийской рупии под предлогом "верификации данных".

На этапе оплаты приложение предлагает три опции: карта, интернет-банкинг или UPI (система мгновенных платежей). Каждый сценарий предназначен для кражи финансовой информации. При выборе оплаты картой запрашиваются ее номер, срок действия, CVV-код и даже PIN-код от банкомата. При выборе UPI требуется ввести PIN-код от этого сервиса. Важно отметить, что настоящие платежные системы никогда не запрашивают PIN-код от банкомата для онлайн-операций, а UPI-приложения не требуют ввода PIN-кода вручную в чужих интерфейсах.

Аналитики отметили любопытную тактику: при выборе оплаты через UPI транзакция намеренно завершается ошибкой. Это вынуждает пользователя пробовать другие способы, что увеличивает шансы кражи более ценных данных, например, реквизитов карты. Если же пользователь вводит данные карты, ему показывается сообщение об успешной оплате и просьбе подождать 24 часа для "проверки". В это время злоумышленники, используя уже перехваченные SMS с OTP, могут незаметно проводить реальные fraudulent transactions (мошеннические транзакции) с карты жертвы.

Инфраструктура и рекомендации

Командная инфраструктура злоумышленников использует домены jsonserv[.]xyz и jsonserv[.]biz. Связь с серверами осуществляется через закодированные строки для усложнения статического анализа. Кампания демонстрирует признаки хорошо организованного мошенничества.

Эксперты рекомендуют пользователям проявлять крайнюю осторожность. Не следует устанавливать APK-файлы, полученные через мессенджеры или SMS, даже если они выглядят как официальные уведомления. Легитимные государственные сервисы не рассылают приложения для установки и не требуют символических платежей для "верификации". Также необходимо регулярно проверять список установленных приложений и отзывать подозрительные разрешения. Для организаций рекомендуется блокировка указанных доменов и усиление мониторинга на предмет аномальной активности, связанной с SMS и сетевыми подключениями.

Domains

• Jsonserv.biz
• jsonserv.xyz

SHA256

• 22cf70a0dd866a4f5addd5d339fad3894a4ebb3e97d597fd7dac9b08899052fb
• 9209fc088cdcd7da0161cabf5b9384c2ca790214413ffb437452bcc865c58452