Ülkenin emeklilik fonu sistemine hesaplanmış bir güvenden yararlanarak Endonezya’nın en savunmasız dijital vatandaşlarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Kötü niyetli operasyon, devlete ait emeklilik fonu, milyonlarca Endonezya memuru ve emeklisi için 15,9 milyar doların üzerinde varlık yöneten PT Dana Tabungan Dan Asuransi Pegawai Negeri’yi (Taspen) taklit ediyor.
Bu kampanya, siber suç taktiklerinde rahatsız edici bir evrimi temsil ediyor ve emeklilik yönetimi için dijital hizmetleri benimsemeye teşvik edilen yaşlılara karşı büyük ölçekli mali sahtekarlık yapmak için kurumsal güveni silahlandırıyor.
Saldırı, Taspen’de barındırılan titizlikle hazırlanmış bir kimlik avı web sitesinden yararlanıyor[.]rahip[.]Taspen’in markası ve Endonezya sloganı “Taspen kadar kolay” (güvenilir bir uygulama, Taspen ile kolay) ile tamamlanan resmi bir mobil uygulama indirme sayfasını taklit eden CC.
Hileli site, silahlı Google Play ve Apple App Store düğmelerine sahiptir, Android sürümü kötü amaçlı APK dosyalarının doğrudan indirilmesini başlatırken, iOS düğmesi güvenilirliği korumak için Bahasa Endonezya’da aldatıcı bir bakım mesajı görüntüler.
CloudSek analistleri, bu kampanyayı tehdit istihbarat izlemeleri yoluyla tanımladı ve kötü amaçlı yazılımın geleneksel güvenlik önlemlerini atlamak için ileri kaçaklama teknikleri kullandığını ortaya koydu.
.webp)
Kötü niyetli uygulama, yürütülebilir kodu şifreleyen ve yalnızca çalışma zamanı boyunca dağıtan ve güvenlik araştırmacıları tarafından kullanılan statik analiz araçlarını etkili bir şekilde yenen açık kaynaklı bir Android paketleyicisi DPT-Shell tarafından korunur.
Çalışma Zamanı Yükü Dağıtım ve Gözetim Özellikleri
Kötü amaçlı yazılımların en ilgili yönü, sofistike dağıtım mekanizması ve bir kez kurban cihazlarına kurulan kapsamlı gözetim yeteneklerinde yatmaktadır.
Yürütme üzerine, DPT-Shell Koruma Sistemi, uygulamanın özel Code_Cache dizinine I111111.zip adlı bir zip arşivi olarak yazmadan önce bellekteki gizli kötü amaçlı yükün şifresini çözer.
Bu çalışma zamanı açma, gerçek kötü amaçlı işlevselliğin, uygulama canlı bir cihazda aktif olarak çalışana kadar güvenlik tarayıcılarından tamamen gizli kalmasını sağlar.
Operasyonel olduğunda, kötü amaçlı yazılım kapsamlı veri hırsızlığı için tasarlanmış birden fazla arka plan hizmeti dağıtır.
SMSService bileşeni, kritik iki faktörlü kimlik doğrulama kodları da dahil olmak üzere gelen tüm mesajları otomatik olarak okuma ve ileten kalıcı SMS müdahalesi özellikleri sağlar.
Eşzamanlı olarak, ScreenRecordService, tüm kullanıcı etkinliklerinin gerçek zamanlı görsel izlenmesini sağlarken, kameraService biyometrik veri hasat için yüz video yakalamasını kolaylaştırır.
Bu bileşenler, mağdurun isimler, telefon numaraları, e -posta adresleri ve çağrı geçmişi de dahil olmak üzere, kurbanın eksiksiz adres defterini sistematik olarak söndüren bir ContactData sınıfı ile birlikte çalışır.
Kötü amaçlı yazılım, RPC.syids.top adresindeki komut ve kontrol sunucusuyla şifreli iletişim kurar.
.webp)
Mağdurlar bankacılık kimlik bilgilerine girdiğinde, kötü amaçlı yazılım, başarılı bir şekilde eksfiltrasyonu maskelemek için kasıtlı olarak Endonezya hata mesajlarını görüntülerken bu verileri şifreler ve iletir ve basit bir başarısız giriş girişiminin yanılsamasını oluşturur.
Atıf analizi, Çince konuşan tehdit aktörlerine işaret eden güçlü dilsel göstergeleri ortaya çıkarır ve Basitleştirilmiş Çince’de hata mesajları hem kimlik avı altyapısında hem de C2 sunucu yanıtlarına gömülü bulunur.
Kampanyanın başarısı, diğer kritik Endonezya kamu kurumlarına karşı benzer saldırılar için tehlikeli bir emsal oluşturmakla tehdit ediyor ve potansiyel olarak temel finansal ve sağlık ihtiyaçları için dijital hükümet hizmetlerine güvenen milyonlarca vatandaşı etkiliyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.