A newly identified Android phishing campaign is aggressively targeting Indian users by masquerading as the legitimate PM Surya Ghar: Muft Bijli Yojana, a government initiative approved in February 2024 that offers subsidies for solar rooftop installations, covering up to 60% of costs for systems under 2kW and 40% for those up to 3kW.
Os invasores aproveitam esse esquema popular para enganar as vítimas para a instalação de malware, prometendo unidades de eletricidade gratuitas por meio de um aplicativo móvel fabricado.
O ataque começa com os vídeos do YouTube promovendo o subsídio, incorporando URLs reduzidos em descrições que redirecionam para um site de phishing Hospedado no Github, meticulosamente projetado para imitar o portal oficial em pmuryaghar.gov.in.
Este site falso apresenta instruções de registro enganosas e um ícone enganoso do Google Play, que, quando clicado, baixará um arquivo APK do mesmo repositório do GitHub, em vez da autêntica loja de aplicativos.
O repositório, ativo desde outubro de 2024 com atualizações frequentes, hospeda a fonte da página de phishing e o malware, explorando a legitimidade do Github para evitar a detecção inicial.
Após o download, o APK inicial chamado PMBY incorpora um apk malicioso secundário em ativos/app.apk, apelidado de PMMBY, que é instalado sob o disfarce de uma “atualização segura”.
Para dificultar ainda mais as varreduras antivírus baseadas em nuvem, o processo de instalação leva os usuários a desativar dados móveis ou Wi-Fi, embora soluções avançadas como a McAfee Mobile Security ainda possam detectar a ameaça offline.
Depois de instalado, o PMMBY solicita permissões invasivas, incluindo read_contacts para acessar listas de contatos, call_phone para gerenciamento de chamadas, read_sms e send_sms para interceptação e transmissão de mensagens e acesso de notificação para spam em potencial ou ofuscação.
Execução do comando remoto
Após o lançamento, o malware apresenta uma interface falsa de usuário que leva as vítimas a selecionar seu provedor de eletricidade em uma lista, exibida em inglês e hindi, com mensagens atraentes sobre o recebimento de 300 unidades gratuitas mensalmente.
Isso leva a um formulário de registro falso que exige um número de telefone e um pagamento nominal de ₹ 1 por meio de um processo “UPI-Lite” simulado, onde os usuários inseram detalhes bancários sensíveis e PIN UPI.
Em segundo plano, os aplicativos buscam URLs dinâmicos por meio de uma solicitação HTTPS para rebrand.ly/dclinkto2, recuperando pontos de extremidade como sqceppo.replit.app/gate.htm para carregar uma forma falsa html e sqceppo.replit.app/addsm.php por smslsl.
As credenciais da UPI são exfiltradas ao sqceppo.replit.app/addup.php, permitindo que os invasores drenam as contas bancárias das vítimas.
Além do roubo financeiro, o PMMBY se envolve em autopropagação, colhendo contatos e enviando mensagens de smishing em massa promovendo o golpe, além de monitorar o SMS de entrada de números do remetente, conteúdo do slot SIM e um identificador de dispositivo exclusivo para o servidor remoto, provavelmente captura autenticação de dois fatores códigos.
O controle remoto é facilitado através do Firebase Cloud Messaging (FCM), onde os comandos são emitidos com base em um valor “_type” para executar ações como atualizar configurações ou desencadear comportamentos maliciosos.
Essa ameaça multifacetada não apenas compromete a privacidade do usuário e a segurança financeira, mas também transforma dispositivos infectados em vetores para uma disseminação mais ampla.
De acordo com o relatórioMcAfee, sob a App Defense Alliance, relatou os aplicativos ao Google, resultando no bloqueio da conta FCM associada e notificou o GitHub, levando à remoção do repositório.
Os usuários são aconselhados a permitir a segurança móvel da McAfee para detecção de ameaças de alto risco e verificar os subsídios apenas por meio de canais oficiais para evitar tais ataques de engenharia social orquestrada.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!