一款技术成熟的新型移动诈骗行动,正将目标瞄准印度数百万智能手机用户,把人们收到交通罚单时的焦虑情绪,转化为身份窃取与财产损失的突破口。CYFIRMA 研究团队的一项新调查发现,诈骗者正通过 WhatsApp 传播一款恶意的 “RTO 罚单(RTO Challan)” 应用,该应用经过精心设计,可劫持用户设备,窃取从银行凭证到生物识别数据在内的各类信息。
攻击始于一则令众多司机恐慌的消息:交通违章通知。诈骗者会群发 WhatsApp 消息,伪装成来自官方交通管理部门的通知,附带伪造的罚单编号、违章日期与车辆登记信息。
这些消息会制造出紧迫感,要求受害者下载一款 “电子罚单(E-Challan)” 或 “RTO 罚单” 应用,以查看违章的照片证据。但实际上,这款应用是一个特洛伊木马程序。
报告指出:“该 APK 文件被设计为一个两阶段下载器,利用高级代码混淆、隐藏安装技术,以及高风险的安卓权限,实现对受害者设备的持久控制”。
一旦受害者上当安装该应用,恶意软件就会施展 “障眼法”:它采用两阶段安装流程,诱骗用户安装第二个隐藏的有效载荷 —— 该载荷不会出现在应用抽屉中,而是在后台静默运行。
为躲避杀毒软件的检测,恶意软件采用了一种罕见的高级技术:构建自身加密隧道。
研究人员解释道:“安装完成后,恶意软件会创建一个自定义的VPN 隧道,以此掩盖自身的网络活动,实现隐秘的数据窃取,同时阻止安全工具检测到其与命令和控制服务器(C2)的通信”。通过将流量路由至该 VPN,攻击者可与位于 jsonserv [.] xyz 的命令和控制服务器通信,且不会触发网络安全警报。
恶意软件的最终目标是财产窃取,通过一个设计巧妙的虚假支付界面实现。在窃取用户的 Aadhaar(印度身份证)、PAN 卡(印度永久账号卡)及个人信息后,应用会提示受害者支付 1 卢比的小额费用。
应用会声称 “请支付 1 卢比以验证车主信息,我们将在 24 小时内退款”。这一微不足道的金额正是诱饵。当用户尝试支付时,会看到借记卡、网上银行或 UPI(统一支付接口)等支付选项。
诈骗手段十分激进:如果用户选择 UPI 支付,应用会故意让交易失败,以此引导用户选择借记卡或信用卡支付。当用户选择银行卡支付选项时,应用会索要大量敏感数据:“在银行卡支付选项中,应用会要求输入卡号、有效期、CVV 码,甚至是 ATM 取款密码”。
与此同时,恶意软件早已获取了高风险权限,可拦截短信与电话。这让攻击者能够实时读取一次性验证码(OTP),直接绕过双因素认证(2FA)机制。
报告称:“虚假支付界面会进一步欺骗用户输入敏感的银行凭证…… 攻击者可利用从受感染设备上窃取的验证码,实时进行未授权交易”。
恶意软件还能触发 USSD 代码,将受害者的电话转接到诈骗者控制的号码上,确保受害者永远无法收到银行打来的诈骗预警电话。
此次诈骗行动是移动诈骗的一次重大升级,将社会工程学手段与 “高度成熟、专业开发” 的恶意软件相结合。研究人员建议用户,屏蔽自称来自交通管理部门的陌生号码发送的消息,且绝不要通过第三方链接下载罚单应用。
报告最后总结道:“及时检测、提升用户防范意识,以及协同开展打击行动,是降低该诈骗行动危害的关键”。
发表评论
您还未登录,请先登录。
登录