Новый Android-троян маскируется под приложение банковской верификации и ворует данные через WhatsApp

Как выяснили специалисты, атака начинается с типичного социального инжиниринга. Жертве приходит сообщение в WhatsApp с просьбой установить обновление для якобы банковского приложения. Если пользователь соглашается, на экране появляется поддельный интерфейс с кнопкой "Установить обновление". Нажатие на нее запускает цепочку опасных событий. Сначала программа запрашивает разрешение на подключение VPN (виртуальной частной сети). После его получения весь трафик устройства начинает проходить через контролируемый злоумышленниками туннель. Это позволяет не только перехватывать данные, но и блокировать соединения с антивирусными серверами и облачными сервисами безопасности, чтобы скрыть свою активность.

Затем дроппер просит разрешение на установку приложений из неизвестных источников. Получив его, он извлекает из своего кода зашифрованный файл и с помощью простого алгоритма XOR (побитовая операция "исключающее ИЛИ") расшифровывает его в полноценный APK-файл. Эта вторичная полезная нагрузка - уже полноценный троян с пакетом com.am5maw3.android. Она устанавливается без ведома пользователя и не отображается в меню приложений. Чтобы оставаться незамеченной, программа запрашивает исключение из режима энергосбережения и использует механизм WAKE_LOCK для постоянной работы в фоне.

Технический отчёт экспертов показывает, что основное вредоносное приложение обладает широкими возможностями. Оно перехватывает входящие SMS, может отправлять сообщения и совершать звонки без ведома владельца, выполнять USSD-запросы (например, для настройки переадресации вызовов) и полностью считывать содержимое SMS-ящика. Управление происходит дистанционно через Firebase Cloud Messaging (облачный сервис Google для push-уведомлений, используемый как канал связи с командным сервером). Команды включают включение пересылки SMS на удаленный номер, отправку логов, выполнение звонков и отправку сообщений.

Однако главная цель атаки - фишинг. После получения всех разрешений приложение открывает WebView (встроенный браузер), который загружает статический сайт, имитирующий интерфейс банковской верификации. Он разработан на базе фреймворка Next.js и содержит несколько экранов. Сначала пользователя просят ввести номер мобильного и PIN-код банковской карты. Затем - Aadhaar (индийский идентификационный номер) и дату рождения. Финальный экран собирает данные карты: номер, срок действия, CVV и PIN. После отправки формы появляется сообщение о том, что проверка займет 24 часа, и пользователя попросят подождать. В этот момент все введенные данные локально шифруются и отправляются HTTP-запросом на командный сервер jsonapi[.]biz.

Важная особенность кампании - повышенная скрытность. Ключевые элементы инфраструктуры, такие как адрес C2-сервера (сервера управления и контроля), ключ шифрования и идентификатор агента (XGEKKWB3), хранятся не в Java-коде, а в нативной библиотеке libnative-lib.so. Это существенно усложняет статический анализ и обнаружение вредоноса антивирусными средствами. Кроме того, эксперты выявили связь с предыдущей фишинговой кампанией, нацеленной на поддельные приложения "RTO e-Challan" (штрафы за нарушение ПДД). Тогда использовались домены jsonserv[.]xyz и jsonserv[.]biz. Теперь злоумышленники применяют аналогичный паттерн с доменом jsonapi.biz и тот же дизайн интерфейса с названием "eChallan". Это указывает на одного и того же оператора, который совершенствует свои методы: перешел от простого Base64-кодирования к нативному сокрытию данных.

Масштаб угрозы оценивается как высокий, особенно для пользователей в Индии. По данным аналитиков, кампания, скорее всего, связана с организованными кибермошенническими группами, которые действуют из регионов, известных как "фишинговая столица Индии". Они массово распространяют вредоносные APK через WhatsApp, перехватывают одноразовые пароли (OTP) и похищают банковские реквизиты. Сочетание социальной инженерии, многоступенчатой архитектуры, нативной обфускации и гибридной системы управления (через Firebase и HTTP) делает этот троян серьезной угрозой не только для финансовой безопасности граждан, но и для репутации банковского сектора. Пользователям рекомендуется проявлять крайнюю осторожность при получении ссылок на установку приложений через мессенджеры, даже если они маскируются под официальные обновления. Ни один банк не рассылает KYC-ссылки через WhatsApp.

Domains

• jsonapi.biz
• jsonserv.biz
• jsonserv.xyz

SHA256

• 1d261b45e73b5b712becb12ed182ec89d3dd0d73143a2dd8ff5512da489a50eb
• 34479b18597f1a0deb5d55b8450bc21af1d1f638c4ceca1ee19e6f5ac89d6be2