Pakistan ile bağları olan gelişmiş kalıcı bir tehdit (APT) grubu, ülkedeki hem pencereleri hem de Android kullanıcılarını enfekte etmek için tasarlanmış bir kampanyanın bir parçası olarak Hindistan’ın kamu sektörü posta sistemi olarak maskelenen sahte bir web sitesinin oluşturulmasına atfedildi.
Siber güvenlik şirketi Cyfirma, kampanyayı, şeffaf kabile olarak da bilinen Apt36 adlı bir tehdit aktörüne orta güvenle ilişkilendirdi.
Hindistan Postası’nı taklit eden hileli web sitesi “Postindia[.]Site. “Siteye Windows Systems’tan inen kullanıcılara bir PDF belgesi indirmeleri istenirken, bir Android cihazdan ziyaret edenlere kötü amaçlı bir uygulama paketi (” IndiaPost.APK “) dosyası sunulmaktadır.
Cyfirma, “Bir masaüstünden erişildiğinde, site ‘ClickFix’ taktikleri içeren kötü niyetli bir PDF dosyası sunuyor.” Dedi. “Belge, kullanıcılara Win + R tuşlarına basmayı, sağlanan bir PowerShell komutunu RUN iletişim kutusuna yapıştırmasını ve sistemden ödün vermesini sağlıyor.”
Bırakılan PDF ile ilişkili EXIF verilerinin analizi, 23 Ekim 2024’te Pakistan’ın Başbakan Gençlik Dizüstü Bilgisayar Şeması’na olası bir referans olan “Pmyls” adlı bir yazar tarafından oluşturulduğunu göstermektedir. Hindistan Postası’nı taklit eden alan adı yaklaşık bir ay sonra 20 Kasım 2024’te kaydedildi.
PowerShell kodu, uzak bir sunucudan bir sonraki aşamalı yük indirmek için tasarlanmıştır (“88.222.245[.]211 “) Şu anda aktif değil.
Öte yandan, aynı site bir Android cihazdan ziyaret edildiğinde, kullanıcıları “daha iyi bir deneyim” için mobil uygulamalarını yüklemeye çağırır. Uygulama, yüklendikten sonra, kişi listeleri, geçerli konum ve harici depolama alanlarından gelen dosyalar da dahil olmak üzere hassas verileri hasat etmesine ve dışarı atmasına izin veren kapsamlı izinler talep eder.
Şirket, “Android uygulaması, istikrarlı olmayan bir Google hesapları simgesini etkinliğini gizlemek için taklit etmek için simgesini değiştirerek kullanıcının uygulamak istediklerinde uygulamayı bulmasını ve kaldırmasını zorlaştırıyor.” Dedi. “Uygulamanın ayrıca, kullanıcıları ilk aşamada reddedilirse izinleri kabul etmeye zorlamak için bir özelliği var.”
Kötü niyetli uygulama, bir cihaz yeniden başladıktan sonra bile sürekli olarak arka planda çalışacak şekilde tasarlanırken, akü optimizasyonunu göz ardı etmek için açıkça izinler arar.
Cyfirma, “ClickFix, vahşi doğada kullanımını gözlemleyen diğer araştırmacılar tarafından bildirildiği gibi, siber suçlular, dolandırıcılar ve apt grupları tarafından giderek daha fazla kullanılıyor.” Dedi. Diyerek şöyle devam etti: “Bu ortaya çıkan taktik, bu tür yöntemlere aşina olmayan hem şüpheli hem de teknoloji meraklı kullanıcıları hedefleyebileceği için önemli bir tehdit oluşturuyor.”