Ha surgido una sofisticada campaña de malware, dirigida a los ciudadanos digitales más vulnerables de Indonesia a través de una explotación calculada de la confianza en el sistema de fondos de pensiones de la nación.
La operación maliciosa se hace pasar por PT Dana Tabungan Dan Asuransi Pegawai Negeri (Taspen), el fondo de pensiones estatal que administra más de $ 15.9 mil millones en activos para millones de funcionarios y jubilados indonesios.
Esta campaña representa una evolución inquietante en las tácticas de cibercrimen, armando la confianza institucional para llevar a cabo fraude financiero a gran escala contra las personas mayores que se alentan cada vez más a adoptar servicios digitales para la gestión de pensiones.
El ataque aprovecha un sitio web de phishing meticulosamente elaborado alojado en Taspen (.) Ahngo (.) CC, que imita una página de descarga de aplicaciones móviles oficiales con la marca de Taspen y el eslogan indonesio “aplikasi andal, Semudah Bersama Taspen” (una aplicación confiable, fácil con Taspen).
El sitio fraudulento presenta los botones armados de Google Play y Apple App Store, con la versión de Android que inicia descargas directas de archivos APK maliciosos, mientras que el botón iOS muestra un mensaje de mantenimiento engañoso en Bahasa Indonesia para mantener la credibilidad.
Analistas de Cloudsek identificado Esta campaña a través de su monitoreo de inteligencia de amenazas, revelando que el malware emplea técnicas de evasión avanzada para evitar las medidas de seguridad tradicionales.
Ciclo de vida de ataque (fuente – Cloudsek)
La aplicación maliciosa está protegida por DPT-Shell, un empacador de Android de código abierto que encripta el código ejecutable y lo implementa solo durante el tiempo de ejecución, derrotando efectivamente las herramientas de análisis estático utilizadas por los investigadores de seguridad.
Capacidades de implementación de carga útil y vigilancia de tiempo de ejecución
El aspecto más preocupante del malware se encuentra en su sofisticado mecanismo de implementación y capacidades integrales de vigilancia una vez instaladas en dispositivos de víctimas.
Tras la ejecución, el sistema de protección DPT-shell descifra por primera vez la carga útil maliciosa oculta en la memoria antes de escribirla en el directorio Code_Cache privado de la aplicación como un archivo zip llamado i111111.zip.
Este desempaquetado de tiempo de ejecución asegura que la verdadera funcionalidad maliciosa permanezca completamente oculta de los escáneres de seguridad hasta que la aplicación se ejecute activamente en un dispositivo en vivo.
Una vez operativo, el malware implementa múltiples servicios de fondo diseñados para robo de datos integral.
El componente SMSService proporciona capacidades persistentes de intercepción de SMS, leyendo y reenviando automáticamente todos los mensajes entrantes, incluidos los códigos críticos de autenticación de dos factores.
Simultáneamente, el servicio de pantalla de pantalla permite el monitoreo visual en tiempo real de todas las actividades del usuario, mientras que el servicio de cámaras facilita la captura de video facial para la recolección de datos biométricos.
Estos componentes funcionan en concierto con una clase de datos de contactos que exfiltran sistemáticamente la libreta de direcciones completa de la víctima, incluidos nombres, números de teléfono, direcciones de correo electrónico e historial de llamadas.
El malware establece la comunicación cifrada con su comando y servidor de control en rpc.syids.top a través de solicitudes de publicaciones HTTP para robo de credenciales y conexiones persistentes de WebSocket para la ejecución de comandos en tiempo real.
Exfiltración de credenciales cifrado (fuente – CloudSek)
Cuando las víctimas ingresan a sus credenciales bancarias, el malware encripta y transmite estos datos mientras muestra deliberadamente mensajes de error indonesios para enmascarar la exfiltración exitosa, creando la ilusión de un simple intento de inicio de sesión fallido.
El análisis de atribución revela fuertes indicadores lingüísticos que apuntan a los actores de amenaza de habla china, con mensajes de error en chinos simplificados encontrados integrados tanto en la infraestructura de phishing como en las respuestas del servidor C2.
El éxito de la campaña amenaza con establecer un precedente peligroso para ataques similares contra otras instituciones públicas críticas indonesias, lo que potencialmente afecta a millones de ciudadanos que confían en los servicios del gobierno digital para las necesidades financieras y de atención médica esenciales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
