サイバーセキュリティの研究者たちは、政府の電力補助の魅力を利用した高度なAndroidフィッシングキャンペーンを暴露する衝撃的な発見をしました。この悪質な攻撃は巧妙に計画されたソーシャルエンジニアリング戦術を持ち、YouTubeやGitHubといった様々なプラットフォームに潜入して、数多くのインドのユーザーの注意を引きます。Cyber Pressによると、この攻撃は政府の信頼を活用したマルウェア配信の中でも最も高度な脅威の一つになる可能性があります。
巧妙なマルチプラットフォームの詐欺
サイバー犯罪者の策略は、補助金を提供するという誘いを持つ見た目には無害なYouTube動画から始まります。これらの動画には、被害者をGitHubにホスティングされた偽の公式ウェブサイトに誘導するリンクが巧妙に含まれています。このウェブサイトはPM Surya Gharポータルを装っており、ユーザーはそこから公式のGoogle Playストアを経由せずに悪質なAPKファイルをダウンロードするように誘導されるため、正当性を見分けるのが難しくなっています。
回避策と遠隔操作
無防備なダウンロードが行われると、ユーザーは高度な回避策の網に絡み取られます。このマルウェアは、本物のセキュリティ更新を装い、インターネット接続の解除を指示し、この詐欺の即時検出を防ぎます。侵入的な権限を要求し、ユーザーの通信や金融情報に無制限のアクセスを獲得し、攻撃者の手の内にさらされます。
金融情報を公然と盗み取る
このマルウェアの巧妙さは、初期の外観にとどまらず、金融情報の盗難の場にも及びます。ユーザーを騙して銀行情報、電話番号、UPI PINを入力させることで、これらの情報は即座に遠隔操作コンポーネントに送信され、大規模に悪用されます。攻撃者はこの機密情報を利用し、静かに金融崩壊と通信スパイを行います。
広範な詐欺からの防御
これらの驚くべき突破口に応えて、マカフィーはGoogleと協力して詐欺師のFCMアカウントを無効にする即時対応を開始しました。GitHubも協力して、こうした悪質な試みを阻止するために有害なリポジトリを削除しました。しかしながら、防御を固める責任はユーザーにあり、アプリケーションを常に精査し、権限を慎重に確認し、信頼性の高いモバイルセキュリティ対策を講じることが求められます。
このサイバー戦争において、意識と警戒が強力な武器です。このような高度なフィッシングキャンペーンの増加に対抗して、個人は固い意志を持ち、悪意ある行動者によって形成される欺瞞的な状況をうまく乗り越えるための知識を装備しておかなければなりません。