APT36 假冒印度邮政网站，利用恶意软件感染 Windows 和 Android 用户

网络安全公司 CYFIRMA 报告称，与巴基斯坦有联系的 APT36 组织创建了一个伪装成印度邮政系统的虚假网站，旨在感染该国的 Windows 和 Android 用户。该组织也被命名为“透明部落 (Transparent Tribe)”。

这个冒充印度邮政的欺诈网站名为“postindia[.]site”。使用 Windows 系统访问该网站的用户会被提示下载 PDF 文档，而使用 Android 设备访问该网站的用户则会被推送恶意应用程序包（“indiapost.apk”）。

CYFIRMA表示： “当从桌面访问时，该网站会提供一个包含‘ ClickFix ’策略的恶意 PDF 文件。该文件指示用户按下 Win + R 键，将提供的 PowerShell 命令粘贴到运行对话框中并执行它 - 这会危害系统安全。”

对被删除 PDF 的 EXIF 数据进行分析后发现，该文件是由一位名为“ PMYLS ”的作者于 2024 年 10 月 23 日创建的。冒充印度邮政的域名是在大约一个月后（2024 年 11 月 20 日）注册的。

PowerShell 代码旨在从当前处于非活动状态的远程服务器（“88.222.245[.]211”）下载下一阶段的有效负载。

另一方面，当使用 Android 设备访问同一网站时，它会敦促用户安装移动应用程序以获得“更好的体验”。该应用程序一旦安装，就会请求大量权限，允许其收集和泄露敏感数据，包括联系人列表、当前位置和外部存储中的文件。

该公司表示：“这款 Android 应用会将其图标改为模仿一个不可疑的 Google 帐户图标，以隐藏其活动，让用户在想要删除应用时难以找到并卸载它。如果用户第一次被拒绝，该应用还具有强制用户接受权限的功能。”

该恶意应用程序还可以在设备重启后持续在后台运行，同时明确寻求忽略电池优化的权限。

技术报告：

https://www.cyfirma.com/research/turning-aid-into-attack-exploitation-of-pakistans-youth-laptop-scheme-to-target-india/

新闻链接：

https://thehackernews.com/2025/03/apt36-spoofs-india-post-website-to.html