Tehdit aktörleri, resmi bir portal olarak gizlenmiş kötü niyetli bir Android başvurusu yapmak için Endonezya Devlet Emeklilik Fonu, PT Dana Tabungan ve Sigorta Sivilleri (Persero) veya Taspen’in güvenilir markasını kullanıyor.
Bu bankacılık Truva atı ve casus yazılım, emeklileri ve memurları hedefler, eski sistemleri ve dijital dönüşüm güvenlik açıklarını, bankacılık kimlik bilgileri, SMS tabanlı tek seferlik şifreler (OTP) ve biyometrik bilgileri yüz video yakalama yoluyla çalmak için hedefler.
Taspen’in Bahasa Endonezya’daki markasını taklit eden operasyon, kurbanları APK’yı indirmeye çeken, algılamayı atlamak ve bir komut ve kontrol (C2) sunucusuna gerçek zamanlı veri eksfiltrasyonunu kolaylaştırmak için ileri kaçak taktiklerini kullanan bir kimlik avı web sitesi ile başlar.
Teknik diseksiyon
Saldırı zinciri, Taspen’in milyonlarca emekli için 15,9 milyar doların üzerinde varlık yönetmesindeki rolünü kullanıyor ve demografinin Endonezya’nın dijital dönüşüm itişi ortasında dijital hizmetlere olan güveninden yararlanıyor.
Rakipler bir kimlik avı alanı kullanır, Taspen[.]rahip[.]Endonezya’daki Decoy App Store uyarıları cepheyi korurken, doğrudan APK indirmelerini tetikleyen silahlandırılmış Google Play düğmeleri içeren CC.
CloudSek Report’a göre, DEX şifrelemesi için DPT kabuğu ile dolu kötü amaçlı yazılım, çalışma zamanında açılır, cihazın Code_Cache dizinin içine kötü niyetli .dex dosyaları içeren bir zip yükü (i111111.zip) bırakır. Bu, statik analizi yenerek, yürütme üzerine modüler casus yazılım bileşenlerini ortaya çıkarır.
Anahtar hizmetler, hileli işlemleri mümkün kılmak için OTP’leri ele geçirmek için SMSService, gerçek zamanlı aktivite izleme için ScreenRecordService, video sıkıştırma ve yükleme yoluyla biyometrik hırsızlık için kameraservice ve daha fazla kimlik avı desteklemek için adres defterleri hasat için ContactData sınıflarını içerir.
İletişim, HTTP 400 hataları ile başarısız girişler olarak gizlenmiş, RPC.syids.top/x/login’e şifreli HTTP Post ve WSS’de bir WebSocket kanalı üzerinde gerçekleşir: //rpc.syids.top/x/command Anlık C2 komutları için.
“Veri alamadı” ve “eksik parametre kapanıyor” gibi basitleştirilmiş Çin hata mesajları gibi dilsel eserler, potansiyel olarak Dünya Kurma veya siber suç sendikaları gibi APT gruplarıyla bağlantılı Çince konuşan aktörlere işaret ediyor.
Anti-analiz önlemleri Frida kancalarını tespit eder, segmentasyon hatalarını tetikler, ancak özel JavaScript kesişmeleri, kimlik bilgisi ve cihaz meta veri hırsızlığını doğrulayan düz metin JSON yüklerini ortaya çıkarmıştır.
Daha geniş etkiler
Bu kampanya, Endonezya’nın dijital ekosistemine olan güvene güvenerek, daha düşük dijital okuryazarlık ile savunmasız yaşlıları hedefliyor, bu da artan sahtekarlık soruşturmaları ve geri ödemeler yoluyla bankalar için finansal kayıplara, psikolojik sıkıntıya ve sistemik risklere yol açıyor.
Tahmini ekonomik hasar on milyonlara ulaşabilir ve Singapur’un CPF’si de dahil olmak üzere Güneydoğu Asya’daki emeklilik fonlarına karşı bölgesel tehditlere paralellik kazanabilir.
Tekrarlanabilir TTPS sosyal mühendisliği, kaçırma paketleme ve biyometrik eksfiltrasyon, BPJS Kesehatan veya Bank Rakyat Endonezya gibi kurumlara yönelik saldırılar için bir emsal teşkil etti.
Buna karşı koymak için, Kominfo ve BSSN gibi hükümet organları hızlı yayından kaldırma çerçeveleri oluşturmalı ve uygulama güvenlik denetimlerini zorunlu hale getirirken, finansal kuruluşlar Google’ın Play Integrity API’si aracılığıyla davranış tabanlı sahtekarlık tespiti ve cihaz onayını uygulamak zorundadır.
Kamuoyu önerileri resmi uygulama mağazalarını, izin incelemesini ve saygın mobil güvenlik yazılımını vurgular. Endonezya’nın bu tür tam spektrumlu tehditlere karşı dijital altyapısını korumak için koordineli bir yanıt gereklidir.
Uzlaşma Göstergeleri (IOCS)
| IOC Türü | Değer | Not |
|---|---|---|
| Kimlik avı alanı | Çirkin[.]rahip[.]CC | Birincil kötü amaçlı yazılım dağıtım sitesi |
| C2 Alanı | rpc.syids.top | Kimlik bilgisi eksfiltrasyonu ve C2 için kullanılır |
| C2 IP Adresi | 38.47.53.168 | TLS üzerinden işaretleme/yedekleme C2 için kullanılır |
| Kötü amaçlı yazılım paketi adı | org.ptgj.tbyd.bujuj | Kötü niyetli uygulamanın benzersiz tanımlayıcısı |
| Kötü amaçlı yazılım dosyası adı | i111111.zip | Düşürülen yük dosyasının adı |
| Sabit kodlanmış anahtar | Nei81xacin91c5rfwhxxxzamttk246iwf | Kötü amaçlı yazılımlarda bulunan şifreleme anahtarı |
| Dosya Hashes (SHA-256) | APK: 3DDEFBACD7DE58C226A388AD92125E1333A7211FC0B1D636DEA778923190C4F classes.dex: 1963b78a98c24e106ba93168f69ad12914e339a155b797a4d6fb6e8ff88819ea Sınıflar2.dex: c4a4c48560abe8286c58d2f6c8bb7e2e698db305761e703987efc6653c2ec25 Sınıflar3.dex: 5b9bd063360912a57a1cde5c1980594703ab301161c9a91197bff76352410df0 |
Antivirüs ve EDR tarafından tanımlanması için |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!