حملة برمجيات خبيثة متطورة تستهدف مستخدمي أندرويد في الهند، باسم “NexusRoute”، انتحلت صفة تطبيقات حكومية رسمية بهدف سرقة بيانات الاعتماد المالية.
تستخدم هذه الحملة نماذج زائفة لتطبيقات “mParivahan” و “e-Challan” الرسمية، بهدف جمع بيانات تسجيل الدخول والمعلومات المالية من المستخدمين غير المدركين للخطر.
تجمع الحملة المنظمة بين مواقع التصيد الاحتيالي، وواجهات الدفع الزائفة، والبرمجيات الخبيثة المتقدمة لتنفيذ عملية سرقة متعددة المراحل، مما يهدد البيانات الشخصية والمصرفية على نطاق واسع.
تعمل الحملة عبر شبكة توزيع مدروسة ومنظمة تستضيفها منصة “GitHub”، حيث تُستخدم مئات المستودعات الوهمية للتطبيقات لنشر حزم أندرويد الخبيثة للمستخدمين المستهدفين.
يقوم الجهات الفاعلة بإنشاء نسخ مقنعة من البوابات الحكومية واستخدام نطاقات تصيد تبدو كأنها خدمات شرعية.
بمجرد قيام المستخدمين بتثبيت التطبيق المزيف، يصبحون عرضة لاعتراض الرسائل النصية القصيرة، وسرقة بيانات الاعتماد المالية، وإجراء معاملات مالية غير مصرح بها.
تجري البرمجيات الخبيثة أيضاً مراقبة شاملة للجهاز، حيث تجمع بيانات الموقع، وجهات الاتصال الشخصية، وسجلات المكالمات الحساسة دون علم المستخدم.
حدد محللو “Cyfirma” هذه البرمجيات الخبيثة بعد ملاحظة ارتباطها بنظام بيئي تجاري أوسع لتشويش أندرويد ومراقبته.
تتبع فريق البحث هذه الحملة إلى بنية تحتية تتم صيانتها بشكل احترافي، وليس مجرد عمليات احتيال بسيطة وفرصية.
وتربط الأدلة البرمجيات الخبيثة بمجتمعات مطورين متخصصة في أدوات حماية أندرويد وتقنيات تعديل التطبيقات، مما يؤكد أن هذه العملية عبارة عن عملية احتيال ومراقبة واسعة النطاق مدعومة بخبرات تقنية وأدوات تجارية.
تبدأ الهجمة عندما يصادف الضحايا صفحات تنزيل وهمية لتطبيق “mParivahan” مستضافة على منصات “GitHub Pages”.
تعرض هذه المواقع الاحتيالية علامات تجارية وشعارات حكومية مقنعة، وتوجه المستخدمين لتمكين التثبيت من مصادر غير معروفة على أجهزة أندرويد الخاصة بهم.
تعمل الحمولة الأولية كـ “Dropper”، حيث تطلب أذونات لا تطالب بها التطبيقات الحكومية الشرعية أبداً.
تشمل هذه الأذونات قراءة الرسائل النصية القصيرة، وخدمات إمكانية الوصول، وإنشاء نوافذ تراكب، والوصول الكامل إلى الملفات – وهي قدرات، عند منحها، تمكن من السيطرة الكاملة على الجهاز.
فهم آلية الإصابة واستراتيجية الثبات
تستخدم البرمجيات الخبيثة نظام تحميل متطور ومتعدد المراحل مصمم لتجاوز أنظمة الكشف وتعقيد الهندسة العكسية.
عند التثبيت، يقوم التطبيق الـ “Dropper” بتحميل مكتبة أصلية تسمى “npdcc” فوراً عبر واجهة “Java Native Interface”.
ينقل هذا النهج المنطق الخبيث الحرج إلى كود مجمع، مما يجعل التحليل الساكن أكثر صعوبة بكثير للباحثين الأمنيين.
تستخدم البرمجيات الخبيثة “DexClassLoader” لتحميل حزم أندرويد إضافية مخزنة خارجياً على الجهاز بشكل ديناميكي، مما يسمح للمهاجمين بنشر حمولات محدثة دون الحاجة إلى خطوات تثبيت من المستخدم.
يمثل الثبات أقوى جانب تقني للحملة، حيث تستخدم البرمجيات الخبيثة طرقاً متعددة خاصة بنظام أندرويد للحفاظ على التنفيذ المستمر على الأجهزة المصابة.
تستغل وظيفة “BroadcastReceiver” للتنشيط عند بدء تشغيل النظام تلقائيًا، وتنشئ خدمات أمامية متنكرة كأدوات نسخ احتياطي أو أمنية شرعية، وتستغل آليات التشغيل التلقائي الخاصة بالشركات المصنعة مثل Xiaomi و OPPO.
تعرض البرمجيات الخبيثة إشعارات أمنية وهمية تقلد تحديثات “Google Play”، مما يخدع المستخدمين للموافقة على أذونات يرفضونها عادةً.
بمجرد منح امتيازات خدمة إمكانية الوصول، تقوم البرمجيات الخبيثة تلقائياً بالموافقة على جميع أذونات وقت التشغيل المتبقية، بما في ذلك الوصول إلى الكاميرا والميكروفون والملفات، دون أي تفاعل إضافي من المستخدم.
يقدم التطبيق بعد ذلك تنبيهاً أمنياً زائفاً يدعي اكتشاف تطبيق غير مدعوم، ويوجه المستخدمين عبر تدفق إزالة وهمي يزيل فقط الـ “Dropper” مع ترك الحمولة الأساسية مخفية ونشطة.
تضمن استراتيجية الثبات الشاملة هذه بقاء البرمجيات الخبيثة نشطة حتى بعد إعادة تشغيل متعددة للجهاز وتجاوز محاولات الإزالة القياسية من قبل المستخدم.
تتدفق بيانات الاعتماد المسروقة إلى خوادم القيادة والتحكم للمهاجمين عبر قنوات اتصال “Socket.IO”.
تنقل البرمجيات الخبيثة معرفات الجهاز، وتفاصيل الحساب المصرفي، وأرقام تعريف المستخدم الشخصية (UPI PINs)، ورسائل SMS التي تحتوي على كلمات مرور لمرة واحدة إلى لوحات المراقبة المركزية.
بهذه المجموعة الكاملة من البيانات، ينفذ المهاجمون معاملات غير مصرح بها ويبيعون المعلومات المخترقة لشبكات إجرامية.
تكشف أبحاث الاستخبارات العامة عن واجهات لوحات تحكم مؤرشفة تكشف عن ميزات لتتبع نظام تحديد المواقع العالمي (GPS)، وتفعيل الميكروفون، والتقاط الشاشة عن بعد، مما يؤكد أن العملية تمتد إلى ما وراء السرقة المالية لتشمل مراقبة شاملة للهواتف المحمولة.