Yeni tanımlanmış bir Android kimlik avı kampanyası, meşru PM Surya Ghar: Muft Bijli Yojana, Şubat 2024’te onaylanan ve 3KW’ye kadar olanlar için% 40’ın altındaki sistemlerin maliyetlerinin% 60’ına kadar sübvansiyon sunan bir hükümet girişimi olan Muft Bijli Yojana’nın agresif bir şekilde hedefliyor.
Saldırganlar, kurbanları kötü amaçlı yazılım kurmaya kandırmak için bu popüler plandan yararlanır ve fabrikasyonlu bir mobil uygulama yoluyla ücretsiz elektrik birimleri vaat eder.
Dağıtım zinciri sosyal mühendislikten yararlanır
Saldırı, sübvansiyonu teşvik eden YouTube videoları ile başlar, kısaltılmış URL’leri GitHub’da barındırılan bir kimlik avı web sitesine yönlendiren, Pmsuryaghar.gov.in’deki resmi portalı taklit etmek için titizlikle tasarlanmıştır.
Bu sahte site, yanıltıcı kayıt talimatları ve tıklandığında, otantik uygulama mağazası yerine aynı GitHub deposundan bir APK dosyası indiren aldatıcı bir Google Play simgesine sahiptir.
Ekim 2024’ten bu yana aktif olan depo, hem kimlik avı sayfası kaynağını hem de kötü amaçlı yazılımları barındırır ve GitHub’ın ilk tespitten kaçınma meşruiyetini kullanır.
İndirildikten sonra, PMBY adlı ilk APK, “Güvenli Güncelleme” kisvesi altında yüklenen PMMBY olarak adlandırılan varlıklar/app.apk’a ikincil bir kötü amaçlı APK yerleştirir.
Bulut tabanlı antivirüs taramalarını daha da engellemek için, kurulum işlemi kullanıcıları mobil verileri veya Wi-Fi’yi devre dışı bırakmaya teşvik eder, ancak McAfee mobil güvenlik gibi gelişmiş çözümler yine de tehdidi çevrimdışı tespit edebilir.
Yüklendikten sonra PMMBY, iletişim listelerine erişmek için Read_Contacts, çağrı yönetimi için call_phone, mesaj müdahalesi ve iletim için call_phone ve potansiyel spam veya obsusation için bildirim erişimi istemektedir.
Uzaktan komut yürütme
Başlatıldıktan sonra, kötü amaçlı yazılım, kurbanları, hem İngilizce hem de Hintçe’de gösterilen bir listeden elektrik sağlayıcılarını seçmelerini isteyen sahte bir kullanıcı arayüzü sunar.
Bu, kullanıcıların hassas bankacılık ayrıntılarını ve UPI PIN’i girdiği simüle edilmiş bir “UPI-Lite” işlemi ile bir telefon numarası ve nominal ₹ 1 ödeme gerektiren sahte bir kayıt formuna yol açar.
Arka planda, uygulama, SQCEPO.Replit.App/Gate.htm gibi uç noktaları alarak, SMS yükleme için SQCEPO.Replit.App/Gate.htm gibi uç noktaları geri alarak dinamik URL’leri getirir.
UPI kimlik bilgileri SQCEPO.Replit.App/Addup.php adresine eklenir ve saldırganların kurbanların banka hesaplarını boşaltmasını sağlar.
Finansal hırsızlığın ötesinde, PMMBY, kontakları hasat ederek ve aldatmacayı tanıtan kitlesel smaçlama mesajları göndererek kendi kendine propaganda yaparken, aynı zamanda Gelen SMS yükleme gönderen numaralarını, mesaj içeriğini, SIM yuvası ayrıntılarını ve uzak sunucuya iki faktörlü kimlik doğrulama kodlarını yakalayabilmesi için benzersiz bir cihaz tanımlayıcısını izler.
Uzaktan kumanda, yapılandırmaları güncelleme veya daha fazla kötü niyetli davranışları tetikleme gibi eylemleri yürütmek için komutların “_Type” değerine dayanarak komutların verildiği Firebase Bulut Mesajlaşma (FCM) aracılığıyla kolaylaştırılır.
Bu çok yönlü tehdit sadece kullanıcı gizliliğini ve finansal güvenliğini tehlikeye atmakla kalmaz, aynı zamanda enfekte olmuş cihazları daha geniş yayma için vektörlere dönüştürür.
Rapora göre, McAfee, App Defense Alliance kapsamında, uygulamaları Google’a bildirdi ve ilişkili FCM hesabının engellenmesine neden oldu ve GitHub’a bildirdi ve deponun kaldırılmasına yol açtı.
Kullanıcılara, yüksek riskli tehdit tespiti için McAfee mobil güvenliğini etkinleştirmeleri ve bu tür orkestrasyonlu sosyal mühendislik saldırılarından kaçınmak için sübvansiyonları yalnızca resmi kanallar aracılığıyla doğrulamaları önerilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!