Os atores de ameaças estão alavancando a marca de confiança do Fundo Estadual de Pensões da Indonésia, Pt Dana Tabungan Dan Asuransi Pegawai Negeri (Persero), ou Taspen, para implantar um malicioso Aplicação Android disfarçado de portal oficial.
Este trojão bancário e spyware visam pensionistas e funcionários públicos, explorando sistemas herdados e vulnerabilidades de transformação digital para roubar dados confidenciais, incluindo credenciais bancárias, senhas únicas baseadas em SMS (OTPs) e informações biométricas via captura de vídeo facial.
A operação, que imita a marca de Taspen em Bahasa Indonesia, começa com um site de phishing que atrai as vítimas a baixar o APK, empregando táticas avançadas de evasão para ignorar a detecção e facilitar a exfiltração de dados em tempo real a um servidor de comando e contro (C2).
Dissecção técnica
A cadeia de ataques explora o papel de Taspen no gerenciamento de mais de US $ 15,9 bilhões em ativos para milhões de aposentados, capitalizando a crescente dependência demográfica dos serviços digitais em meio a um impulso de transformação digital da Indonésia.
Adversários implantam um domínio de phishing, Tasten[.]Ahngo[.]CC, com botões armados do Google Play que desencadeiam downloads diretos de APK, enquanto os alertas da App Store da App App no Indonésio mantêm a fachada.
De acordo com Cloudsek relatórioo malware, embalado com DPT-shell para criptografia dex, descompacta no tempo de execução, soltando uma carga de pagamento (i1111111111.zip) contendo arquivos .dex maliciosos no diretório Code_cache do dispositivo. Isso derrota a análise estática, revelando componentes modulares de spyware após a execução.
Os principais serviços incluem SMSService para interceptar os OTPs para permitir transações fraudulentas, ScreenRecordService para monitoramento de atividades em tempo real, Cameraservice para roubo biométrico por meio de compactação e upload de vídeo e aulas de ContatoData para colheita de livros de endereços para apoiar ainda mais a busca.
A comunicação ocorre sobre o post http criptografado para rpc.syids.top/x/login, disfarçado de logins falhados com erros http 400 e um canal websocket em wss: //rpc.syids.top/x/Command para comandos C2 instantâneos.
Artefatos linguísticos, como mensagens de erro chinesas simplificadas como “获取数据失败” e “缺少参数关闭”, apontam para atores de língua chinesa, potencialmente ligados a grupos adequados como a Terra Kurma ou os sindicatos do cibercrime.
Medidas de anti-análise detectar ganchos FRIDA, desencadeando falhas de segmentação, embora interceptações de JavaScript personalizadas tenham exposto texto simples Cargas úteis JSON Confirmando o roubo de metadados de credenciais e dispositivos.
Impactos mais amplos
Esta campanha corroe a confiança do público no ecossistema digital da Indonésia, direcionando idosos vulneráveis com menor alfabetização digital, levando a perdas financeiras, sofrimento psicológico e riscos sistêmicos para os bancos por meio de investigações e reembolsos de fraude.
Os danos econômicos estimados podem atingir dezenas de milhões, atraindo paralelos a ameaças regionais contra fundos de pensão no sudeste da Ásia, incluindo o CPF de Cingapura.
A engenharia social TTPS replicável, o empacotamento de evasão e a exfiltração biométrica estabeleceu um precedente para ataques a instituições como o BPJS Kesehatan ou o Bank Rakyat Indonésia.
Para combater isso, órgãos governamentais como Kominfo e BSSN devem estabelecer estruturas rápidas de remoção e exigir auditorias de segurança de aplicativos, enquanto as entidades financeiras implementam a detecção de fraudes baseadas em comportamento e o atestado de dispositivos por meio da API de integridade de jogo do Google.
As recomendações públicas enfatizam as lojas oficiais de aplicativos, o escrutínio de permissão e o software de segurança móvel respeitável. Uma resposta coordenada é essencial para proteger a infraestrutura digital da Indonésia em relação a essas ameaças de espectro total.
Indicadores de compromisso (IOCs)
| Tipo de IOC | Valor | Observação |
|---|---|---|
| Domínio de phishing | Tasten[.]Ahngo[.]cc | Site de distribuição de malware primário |
| Domínio C2 | rpc.syids.top | Usado para exfiltração de credenciais e C2 |
| Endereço IP C2 | 38.47.53.168 | Usado para faroling/backup c2 sobre TLS |
| Nome do pacote de malware | org.ptgnj.trbyd.bujuj | O identificador exclusivo para o aplicativo malicioso |
| Nome do arquivo de malware | i1111111.zip | O nome do arquivo de carga útil descartado |
| Chave codificada | Nei81xacin91c5rfwhxxzamttk246iwf | Chave de criptografia encontrada na configuração do malware |
| Hashes de arquivo (SHA-256) | APK: 3DDEFBACD77DE58C226A388AD92125E1333A7211FC0B1D636DEA778923190C4F Classes.dex: 1963B78A98C24E106BA93168F69AD12914E339A155B797A4D6FB6E8FF88819EA Classes2.dex: C4A4C485660ABE8286C58D2F6C8BB7E2E698DB305761E703987EFC6653C2C25 Classes3.Dex: 5B9BD063360912A57A1CDE5C1980594703AB301161C9A91197BFF76352410DF0 |
Para identificação por antivírus e EDR |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!