Peneliti keamanan siber dari Cyfirma telah mengungkap sebuah kampanye serangan siber canggih yang memanfaatkan situs web palsu menyerupai situs resmi India Post Office untuk mendistribusikan malware berbahaya kepada pengguna Windows dan Android.

Situs palsu tersebut, yang dihosting di postindia[.]site, menunjukkan tingkat sofistikasi teknis tinggi dengan kemampuan mendeteksi jenis perangkat pengunjung dan menyajikan payload malware yang disesuaikan berdasarkan sistem operasi korban.

Saat diakses melalui browser desktop, situs tersebut mencoba mendapatkan akses ke clipboard pengguna dan kemudian menampilkan unduhan berupa file PDF berisi instruksi bertajuk “ClickFix”. Dalam dokumen tersebut, korban diarahkan untuk menekan Win+R dan menempelkan perintah PowerShell, yang kemudian dapat digunakan untuk menyusupkan malware ke sistem Windows.

Sementara itu, pengguna perangkat mobile diarahkan untuk mengunduh file APK berbahaya bernama "indiapost.apk", yang meminta berbagai izin sensitif seperti akses ke kontak, lokasi, clipboard, dan lainnya.

Baca Juga: 90% Pemimpin Keamanan Siber Akui Alami Serangan di Lingkungan Cloud

Cyfirma mengidentifikasi kampanye ini pada Maret 2025 saat melakukan pemantauan rutin ancaman siber. Berdasarkan metadata dokumen PDF dan infrastruktur jaringan yang digunakan, peneliti menyimpulkan bahwa serangan ini kemungkinan besar berasal dari APT36 (alias Transparent Tribe), kelompok ancaman yang dikenal sebagai aktor negara yang berbasis di Pakistan dan telah aktif menargetkan entitas India sejak 2013.

Beberapa bukti teknis yang mendukung atribusi ini meliputi:

• Metadata file PDF menunjukkan pembuatan pada Oktober 2024 dengan zona waktu +5:00 (Pakistan).
• Nama pembuat dokumen terdaftar sebagai “PMYLS”, akronim dari program Pakistan Prime Minister Youth Laptop Scheme.
• Alamat IP berbahaya 88[.]222[.]245[.]211 mengarah ke domain penipuan seperti email[.]gov[.]in[.]gov-in[.]mywire[.]org, yang secara visual meniru domain resmi pemerintah India — taktik umum yang digunakan APT36.

Salah satu elemen mencolok dalam kampanye ini adalah mekanisme deteksi perangkat berbasis JavaScript yang memungkinkan pengalihan payload sesuai platform:

function detectDevice() {
  const isMobile = /iPhone|iPad|iPod|Android/.test(navigator.userAgent);
  if (isMobile) {
    dialogTitle.textContent = "Get Our App";
    actionButton.href = "https://postindia.site/download/indiapost.apk";
  } else {
    dialogTitle.textContent = "Download Tracking Information";
    actionButton.href = "https://drive.usercontent.google.com/download?id=...";
  }
}

Malware Android indiapost.apk dilaporkan meniru ikon aplikasi Google Accounts untuk mengelabui korban. Selain itu, aplikasi tersebut menggunakan mekanisme persistensi BootReceiver dan mengabaikan pengaturan optimisasi baterai untuk memastikan terus aktif di latar belakang.

Kampanye ini menjadi pengingat bahwa aktor ancaman semakin canggih dan adaptif, memanfaatkan penyamaran sebagai institusi resmi untuk menjebak korban. Upaya phishing berbasis domain tiruan, serangan multi-platform, dan teknik penghindaran deteksi menjadi senjata utama dalam lanskap ancaman modern.

Cyfirma mengimbau organisasi dan individu untuk:

• Tidak mengunduh file dari sumber tidak dikenal
• Menghindari menjalankan perintah PowerShell dari sumber yang tidak terpercaya
• Memperbarui perangkat lunak dan sistem operasi secara rutin
• Mengaktifkan sistem keamanan tambahan pada perangkat Android dan Windows