NexusRoute: malware Android imita mParivahan e e‑Challan

A campanha NexusRoute usa APKs falsos de mParivahan e e‑Challan distribuídos via páginas e repositórios GitHub para enganar usuários indianos. O malware atua como dropper, solicita permissões perigosas (SMS, acessibilidade) e exfiltra credenciais e OTPs, permitindo transações fraudulentas e vigilância móvel. Usuários e administradores devem evitar APKs fora das lojas oficiais e negar permissões desnecessárias.

Descoberta e escopo / O que mudou agora

Pesquisadores identificaram uma campanha Android chamada NexusRoute que tem como alvo cidadãos indianos ao se passar por aplicativos governamentais populares — entre eles falsos instaladores do mParivahan e do e‑Challan. A operação combina páginas de phishing, repositórios GitHub maliciosos e um dropper que instala payloads com capacidades de roubo financeiro e vigilância.

Vetor e exploração / Mitigações

A distribuição ocorre por meio de páginas de download hospedadas em plataformas como GitHub Pages, onde os atacantes publicam repositórios que contêm APKs falsos. Usuários são persuadidos a habilitar instalação de fontes desconhecidas e a conceder permissões perigosas (SMS, serviços de acessibilidade, overlay, acesso a arquivos).

Principais recomendações operacionais:

Nunca instalar APKs fora das lojas oficiais sem verificação rigorosa; verificar assinaturas e URLs oficiais dos serviços governamentais;
Bloquear downloads de GitHub Pages/hosting não confiável por política corporativa quando apropriado e inspecionar conteúdo servido por essas plataformas;
Rejeitar pedidos de permissões desnecessárias e especialmente serviços de acessibilidade solicitados por apps que não justificam esse uso;
Monitorar transações financeiras suspeitas e instruir usuários sobre engenharia social que imita serviços públicos.

Impacto e alcance / Setores afetados

A campanha destina‑se a roubar credenciais, interceptar SMS (incluindo OTPs), capturar dados bancários e executar transações não autorizadas. Além do prejuízo financeiro direto a indivíduos, há risco de venda de credenciais em mercados criminais e uso para campanhas de fraude dirigidas. Serviços públicos e usuários de mobile banking na Índia são o principal alvo.

Limites das informações / O que falta saber

Relatórios indicam infraestrutura profissional por trás da operação e ligação a ecossistemas comerciais de ofuscamento e vigilância, mas faltam dados públicos sobre métricas precisas de vítimas ou evidências de campanhas em países fora da Índia. Não há indicação de comprometimento de repositórios oficiais dos serviços governamentais — o vetor é a imitação em páginas externas.

Repercussão / Próximos passos

Autoridades e operadores de serviços públicos devem reforçar comunicações oficiais sobre canais de distribuição legítimos e instruções de segurança para usuários. Operadores de antifraude bancária e equipes de SOC precisam considerar regras de detecção para transações anômalas originadas de dispositivos móveis que apresentem sinais de interceptação de SMS ou uso de serviços de acessibilidade por processos não autorizados.