Gefälschte Indien-Post-Website infiziert Smartphone-Nutzer mit Schadsoftware
Die pakistanisch verortete APT-Gruppe APT36 – auch unter dem Namen Transparent Tribe bekannt – betreibt aktuell eine täuschend echt wirkende Kopie der offiziellen Website der indischen Post. Über diese Plattform versuchen die Angreifer, Schadsoftware auf Endgeräte mit Windows- und Android-Betriebssystemen einzuschleusen.
Die Sicherheitsfirma CYFIRMA schreibt die Aktivität mit mittlerer Attributionstreue der Gruppe APT36 zu. Die betrügerische Domain lautet: postindia[.]site.
Zwei unterschiedliche Infektionswege – abgestimmt auf das Zielgerät
● Windows-Nutzer werden auf der Website dazu aufgefordert, eine PDF-Datei herunterzuladen. Diese enthält eine als „ClickFix“ bezeichnete Methode, bei der der Nutzer manuell Win + R drücken und anschließend einen PowerShell-Befehl ausführen soll. Führt der Benutzer die Instruktionen aus, kann das System kompromittiert werden.
● Android-Nutzer erhalten den Hinweis, zur Optimierung des Nutzungserlebnisses eine App zu installieren. Dabei handelt es sich jedoch um eine manipulierte APK-Datei mit Schadcode, die nach der Installation weitreichende Berechtigungen einfordert – darunter Zugriff auf Kontakte, Standortdaten und lokal gespeicherte Dateien.
Tarnmechanismen und Persistenzverhalten
Nach der Installation maskiert sich die Android-Schadsoftware, indem sie ihr Symbol ändert und sich als Google-Konto-App tarnt. Damit entzieht sie sich der Aufmerksamkeit des Nutzers – und erschwert sowohl das Auffinden als auch die Entfernung. Falls anfängliche Berechtigungsanfragen abgelehnt werden, stellt die App diese erneut, bis der Nutzer zustimmt.
Darüber hinaus bleibt die App nach einem Neustart des Geräts aktiv. Über gezielte Konfigurationen sorgt sie dafür, dass sie nicht automatisch durch das Betriebssystem beendet wird.
Indizien zur Herkunft und zum Zeitpunkt der Operation
Die in der Kampagne eingesetzte PDF-Datei wurde laut Metadaten am 23. Oktober 2024 erstellt. Der Autorenname lautet „PMYLS“ – ein mögliches Akronym eines pakistanischen Regierungsprojekts. Die Domain postindia[.]site wurde am 20. November 2024 registriert.
Die in der PDF eingebettete PowerShell-Anweisung sollte ursprünglich weitere Schadkomponenten von einem externen Server nachladen. Dieser Command-and-Control-Server ist aktuell jedoch nicht mehr erreichbar.
Verbreitung einer manipulierten Bedienanleitung
Nach Einschätzung von CYFIRMA wird die Methode „ClickFix“ zunehmend von Bedrohungsakteuren eingesetzt – sowohl in staatlich motivierten Kampagnen als auch im Umfeld gewöhnlicher Online-Kriminalität. Brisant: Die Methode funktioniert nicht nur bei unerfahrenen Nutzerinnen und Nutzern. Auch technisch versierte Zielpersonen lassen sich durch die scheinbare Unauffälligkeit der Anleitung täuschen.
Die beobachtete Kampagne zeigt exemplarisch, wie stark sich moderne Cyberoperationen diversifizieren: durch individuelle Payloads für unterschiedliche Betriebssysteme, durch den Einsatz sozialer Täuschung und durch gezielte Maßnahmen zur Persistenz auf kompromittierten Geräten.