インドのAndroidユーザーを狙う「NexusRoute」マルウェア
「NexusRoute」と呼ばれる巧妙なAndroidマルウェアキャンペーンが、インドのユーザーを標的としています。このマルウェアは、インド政府のサービスであるmParivahanとe-Challanを装い、認証情報の窃取や大規模な金融詐欺を目的としています。このキャンペーンは、フィッシング、マルウェア、監視機能を組み合わせた複合的な攻撃であり、その背後にはプロフェッショナルなオペレーションが存在します。
マルウェアの配布と感染経路
NexusRouteは、主にGitHubでホストされている悪意のあるAPKファイルと、偽の反則金通知や1ルピー認証フローを実行するフィッシングドメイン(例:rtochallan[数字].store, .shop, .online)を通じて拡散されています。これらのドメインは「NexGen mParivahan」とブランド化されており、ユーザーに携帯電話番号と車両番号の入力を促します。その後、偽の1ルピー「所有権確認」支払いを要求し、被害者を偽のUPI、カード、ネットバンキングのインターフェースに誘導して、UPI PINを含む機密性の高い金融データを窃取します。これにより、ユーザーの承認なしに不正な引き落としが可能となります。
高度な回避と永続化メカニズム
このマルウェアは、ユーザーに「不明なソースからのインストール」を許可させ、その後、隠されたDEXペイロードを復号・ロードし、JNIを介してネイティブな.soライブラリに実行を渡す多段階ローダーを展開します。NexusRouteは、以下のような広範な高リスク権限を要求します:
- REQUEST_INSTALL_PACKAGES
- SYSTEM_ALERT_WINDOW
- READ_SMS
- SEND_SMS
- READ_CONTACTS
- 完全なファイルアクセス
- アクセシビリティサービス
また、エミュレーターやルート化された環境をチェックして分析を回避します。一度インストールされると、BroadcastReceivers、フォアグラウンドサービス、スケジュールされたジョブ、OEM固有の自動起動設定、ウェイクロック、バッテリー最適化の免除を悪用して、継続的な実行を確保します。デバイスによっては、デフォルトのホームアプリ設定を操作して、隠されたペイロードがインストールされるまでユーザーをシステム画面に閉じ込めることもあります。
盗み出される情報とその悪用
このマルウェアは、偽のGoogle Playスタイルの更新プロンプトやセキュリティ警告を表示し、ユーザーを欺いてアクセシビリティサービスなどの機密性の高い権限を付与させます。これにより、将来のプロンプトをバックグラウンドで自動的に承認することが可能になります。NexusRouteの機能には、SMSの傍受と情報流出、デュアルSIMプロファイリングとターゲットを絞ったSMS送信、キーロギング、MediaProjectionによる画面キャプチャ、リモートカメラおよびマイク制御、ファイルアクセスと削除、継続的なGPS追跡が含まれます。盗み出されたデータは、UPI PIN、OTP、カード情報、銀行認証情報、通話履歴、SMS、連絡先、デバイス詳細、GPS位置情報など多岐にわたり、リアルタイムの詐欺や監視のために一元化されたコマンド&コントロール(C2)インフラストラクチャに送られます。
脅威の背後にある組織と対策の必要性
このマルウェアのクラッシュレポートおよびデータ流出ルーチンは、sarthakpal[at]protonmail[.]comというメールアドレスに関連付けられており、これは「Gymkhana Studio」ブランドの下での広範なAndroid難読化、保護、スパイウェアツールエコシステムの一部であると示唆されています。パブリックブログ、開発者プロファイル、アーカイブされた監視コントロールパネルインターフェースは、これが単なる低スキルの詐欺キットではなく、半商用的なAndroidスパイウェアおよび詐欺プラットフォームの一部であることを示唆しています。GitHubリポジトリの悪用、自動化されたフィッシングドメイン生成、集中化されたRATダッシュボードの規模は、成熟した工業化されたオペレーションを示しています。
UPIやカードベースの支払いへの直接的な影響、インド政府の重要なデジタルブランドの悪用、そしてその監視能力を考慮すると、NexusRouteは国家規模の金融およびサイバー監視の脅威を構成しています。CERT、法執行機関、通信事業者、銀行、およびプラットフォームプロバイダーによる協調的な行動が、ホスティングインフラストラクチャの解体、C2サーバーの妨害、公開勧告の発行、関連詐欺の取り締まりのために緊急に必要とされています。