APT36 атакует Windows и Android через фальшивый почтовый сервис

Группа APT36, связанная с Пакистаном, развернула вредоносную кампанию , маскируясь под официальный сайт почтовой службы Индии. Поддельный ресурс под адресом «postindia[.]site» нацелен сразу на два типа пользователей — владельцев устройств с Windows и Android. Для каждой категории предусмотрен свой способ заражения: через вредоносный PDF-файл и через поддельное мобильное приложение соответственно.

При открытии сайта с компьютера пользователю предлагается загрузить якобы официальный документ. Однако внутри скрыта инструкция, использующая технику «ClickFix» — жертву просят нажать Win + R и вставить в появившееся окно команду PowerShell. При выполнении команды компьютер подключается к внешнему серверу и загружает следующий этап вредоносной программы. Хотя на данный момент сервер, с которого происходила загрузка, уже неактивен, сам файл продолжает циркулировать в сети.

Информация о создании PDF-документа указывает на автора под именем «PMYLS», что может быть намёком на пакистанскую программу по раздаче ноутбуков молодёжи. Доменное имя, подделывающее India Post, зарегистрировано через месяц после создания PDF — в ноябре 2024 года, что подтверждает спланированность атаки.

На мобильных устройствах сценарий заражения другой. Пользователю предлагается установить приложение India Post для «удобства», которое на самом деле представляет собой вредоносную программу с расширенными правами доступа. Приложение собирает личные данные: контакты, местоположение, содержимое внешней памяти. Оно незаметно меняет значок на иконку «Google Аккаунты», чтобы затруднить обнаружение и удаление.

Особое внимание разработчики уделили устойчивости вредоносного ПО — приложение запускается автоматически после перезагрузки устройства, игнорирует настройки энергосбережения и даже принудительно активирует необходимые разрешения, если пользователь изначально отказывается их предоставить.

Исследователи CYFIRMA, анализировавшие кампанию, полагают с умеренной степенью уверенности, что за атакой стоит APT36 — она же Transparent Tribe. Эта группировка давно известна операциями, направленными на граждан Индии, и активно использует как социальную инженерию, так и технические уязвимости.

Факт, что одновременно атакуются и ПК, и мобильные устройства, подчёркивает всё более комплексный подход APT -группировок. Установка вредоносного ПО под видом приложения государственной службы — особенно тревожная тенденция, учитывая доверие пользователей к таким брендам.

Пока не зафиксировано масштабного распространения, но характер атаки и выбранная мишень говорят о возможной подготовке к более широким кампаниям. Пользователям рекомендуется с осторожностью относиться к загрузке файлов и приложений с неизвестных ресурсов, даже если они визуально копируют официальные сайты.