Shadow Apps: Come i Falsi Servizi di Trasporto Indiani Stanno Prendendo il Controllo dei Telefoni Android
Sottotitolo: I cybercriminali stanno trasformando app governative contraffatte in armi per scatenare una nuova ondata di malware Android in tutta l’India.
Tutto inizia con una semplice ricerca: vuoi controllare le tue multe stradali o accedere ai documenti digitali del veicolo. Vedi un logo familiare, un nome governativo affidabile e-prima che tu te ne renda conto-hai consegnato il controllo del tuo smartphone a un cybercriminale senza volto. Questa è la sinistra realtà dietro una nuova, importante campagna di malware Android che sta travolgendo l’India, dove gli hacker si spacciano per app ufficiali dei trasporti per compromettere migliaia di dispositivi in uno degli attacchi mobili più sofisticati mai scoperti.
L’Anatomia di un Download Ingannatore
Secondo i ricercatori di CYFIRMA, l’operazione-battezzata NexusRoute-ha trasformato gli indiani comuni in bersagli sfruttando la fiducia nei servizi digitali governativi. Le vittime si imbattono in siti di phishing come rtochallan[digits].shop o mparivahan1.github.io, che mostrano loghi dei trasporti statali convincenti e invitano gli utenti a “verificare” la propria challan scaricando un APK. La trappola è elegantemente semplice: l’app sembra ufficiale ma contiene un payload profondamente nascosto.
Una volta installata, la finta app distribuisce un Trojan di Accesso Remoto (RAT) multi-fase e fortemente offuscato. Questo malware, progettato per eludere il rilevamento, richiede permessi pericolosi-accesso a SMS, fotocamera, microfono, GPS e persino agli avvisi di sistema. È in grado di intercettare OTP, catturare dati finanziari sensibili come i PIN UPI, registrare conversazioni e rubare file. L’infezione persiste registrandosi nei servizi di sistema di Android, assicurandosi di sopravvivere a riavvii e modalità di risparmio energetico su marchi come Xiaomi, Oppo e Realme.
La sofisticazione del malware non si ferma qui. Mantiene una connessione nascosta al suo server di comando e controllo tramite canali in tempo reale, permettendo agli aggressori di catturare screenshot da remoto, attivare microfoni o inviare SMS. L’esfiltrazione dei dati è ottimizzata: dettagli SIM, liste contatti, coordinate GPS e messaggi intercettati vengono tutti inviati in forma criptata. Il malware cambia persino la sua icona-mascherandosi da Google Translate o News-per evitare sospetti, e utilizza cicli di sistema per costringere gli utenti a concedere ulteriori permessi.
Dietro le Quinte: Una Macchina del Cybercrimine Professionalizzata
L’intelligence open-source collega il codice del malware e gli artefatti degli sviluppatori a Gymkhana Studio, un’operazione spyware semi-commerciale. Gli investigatori hanno trovato oltre 30 repository GitHub che ospitano app false identiche e template di phishing, rivelando un’infrastruttura professionale e automatizzata. A differenza delle truffe isolate, questa campagna è industriale per scala e sofisticazione-e prende di mira proprio le app su cui milioni di persone fanno affidamento ogni giorno.
Con la rapida adozione dei servizi pubblici digitali in India, la posta in gioco non è mai stata così alta. Autorità ed esperti di sicurezza stanno esortando i cittadini: non scaricate mai APK da siti non ufficiali, installate solo da fonti affidabili come Google Play e segnalate portali sospetti a CERT-In o alle unità locali di cybercrime. Nell’era digitale, anche un’operazione di routine come controllare una multa può aprire la porta a una violazione devastante.




