Un gruppo avanzato di minacce persistenti (APT) legato al Pakistan è stato attribuito alla creazione di un sito web falso che si spaccia per il sistema postale del settore pubblico indiano. Questa operazione fa parte di una campagna progettata per infettare sia gli utenti Windows che Android nel paese. La società di cybersicurezza CYFIRMA ha attribuito la campagna con una fiducia media a un attore minaccioso noto come APT36, anche conosciuto come Transparent Tribe.

Il sito web fraudolento che imita India Post è denominato "postindia[.]site". Gli utenti che accedono al sito da sistemi Windows vengono invitati a scaricare un documento PDF, mentre quelli che visitano da un dispositivo Android ricevono un file APK malevolo denominato "indiapost.apk". Quando si accede al sito da un desktop, viene fornito un file PDF malevolo che utilizza tattiche note come "ClickFix". Questo documento istruisce gli utenti a premere i tasti Win + R, incollare un comando PowerShell fornito nella finestra di dialogo Esegui ed eseguirlo, potenzialmente compromettendo il sistema.

Un'analisi dei dati EXIF associati al PDF scaricato mostra che è stato creato il 23 ottobre 2024 da un autore chiamato "PMYLS", probabilmente in riferimento al Prime Minister Youth Laptop Scheme del Pakistan. Il dominio che impersona India Post è stato registrato circa un mese dopo, il 20 novembre 2024.

Il codice PowerShell è progettato per scaricare un payload di fase successiva da un server remoto attualmente inattivo. D'altra parte, visitando il sito da un dispositivo Android, gli utenti vengono incoraggiati a installare l'app mobile per una "migliore esperienza". L'app, una volta installata, richiede ampi permessi che le permettono di raccogliere ed esfiltrare dati sensibili, inclusi elenchi di contatti, posizione attuale e file dalla memoria esterna.

L'app Android cambia la sua icona per imitare un'icona non sospetta di Google Accounts per nascondere la sua attività, rendendo difficile per l'utente localizzare e disinstallare l'app quando desidera rimuoverla. L'app ha anche una funzione per forzare gli utenti ad accettare i permessi se vengono negati al primo tentativo. L'app malevola è progettata per funzionare in background continuamente anche dopo un riavvio del dispositivo, mentre cerca esplicitamente permessi per ignorare l'ottimizzazione della batteria.

"ClickFix è sempre più sfruttato da criminali informatici, truffatori e gruppi APT, come riportato da altri ricercatori che ne osservano l'uso in natura," ha dichiarato CYFIRMA. "Questa tattica emergente rappresenta una minaccia significativa in quanto può colpire sia utenti ignari che esperti di tecnologia che potrebbero non essere familiari con tali metodi."