O preço da confiança: analisando a campanha de malware que explora o legado da TASPEN para atingir idosos indonésios

1. Sumário executivo

Uma campanha de malware móvel sofisticada e altamente direcionada está aproveitando ativamente a marca confiável do fundo de pensão estatal da Indonésia, PT Dana Tabungan e Asuransi Pegawai Negeri (Persero), também conhecido como TASPEN, para executar uma operação de roubo de dados e fraude financeira de amplo espectro contra aposentados e funcionários públicos do país. Essa operação utiliza um aplicativo Android malicioso incorporado a um trojan/spyware bancário, meticulosamente disfarçado como um portal oficial da TASPEN, para roubar uma ampla variedade de informações confidenciais, incluindo credenciais bancárias, senhas de uso único (OTPs) de mensagens SMS e até dados biométricos por meio de captura de vídeo facial.

‍

A cadeia de ataques começa com um site de phishing cuidadosamente criado que representa perfeitamente uma página oficial de download de aplicativos, usando a marca e os slogans da TASPEN em Bahasa Indonesia para criar uma falsa sensação de segurança. Quando a vítima é induzida a instalar o pacote de aplicativos maliciosos (APK), o malware emprega técnicas avançadas de evasão para não ser detectado.

‍

Uma vez ativo em um dispositivo, o malware estabelece uma comunicação persistente e criptografada com uma infraestrutura de servidor de comando e controle remoto (C2). Isso permite que os invasores extraiam dados roubados em tempo real, monitorem a atividade do usuário por meio de gravação de tela e emitam comandos remotamente para executar transações fraudulentas. Artefatos técnicos encontrados na rede de distribuição e nos canais de comunicação do malware, incluindo mensagens de erro e comentários de desenvolvedores escritos em chinês simplificado, sugerem fortemente o envolvimento de um grupo de agentes de ameaças bem organizado que fala chinês.

‍

O sucesso desse modelo cria um precedente perigoso, fornecendo um plano pronto para ataques semelhantes contra outras instituições financeiras e públicas críticas da Indonésia.

‍

Este relatório fornece uma análise detalhada das táticas, técnicas e procedimentos (TTPs) dos atacantes. Ele analisa as capacidades técnicas do malware, avalia os impactos comerciais e sociais de longo alcance e conclui com um conjunto de recomendações estratégicas para uma defesa coordenada e multissetorial para proteger os cidadãos da Indonésia e seu futuro digital.

‍

2. O contexto de ameaça e o vetor de ataque da Indonésia

2.1. A importância estratégica da TASPEN e da transformação digital da Indonésia

‍

‍

PT Dana Tabungan e Asuransi Pegawai Negeri (Persero) (TASPEN) é a pedra angular do aparato de seguridade social da Indonésia. Fundada em 1963, ela se tornou uma grande instituição financeira, gerenciando ativos avaliados em mais de $15,9 bilhões de dólares. É responsável pelos fundos de pensão de milhões de funcionários públicos e funcionários de empresas estatais, tornando-se um elemento fundamental da estabilidade financeira e do sistema de bem-estar público do país.

‍

Sua base de usuários consiste principalmente de aposentados, um grupo demográfico cada vez mais incentivado a adotar serviços digitais para gerenciamento de pensões, autenticação e comunicação. À medida que o governo indonésio persegue agressivamente sua agenda de transformação digital, plataformas como a TASPEN se tornam uma infraestrutura crítica para os serviços aos cidadãos. Essa mudança digital, embora benéfica, cria simultaneamente um alvo concentrado e de alto valor para os cibercriminosos. A imensa escala financeira da TASPEN, combinada com a confiança inerente que os cidadãos, especialmente os idosos, depositam nessa marca governamental de longa data, a torna um alvo excepcionalmente atraente para ataques de falsificação de identidade. Um ataque ao TASPEN não é apenas um ataque a indivíduos; é um ataque à percepção de segurança e confiabilidade de todo o ecossistema de serviços públicos digitais da Indonésia.

‍

2.2. O ciclo de vida do ataque: uma visão geral de alto nível

A campanha segue um ciclo de vida claro e em vários estágios, projetado para máximo impacto e detecção mínima.

‍

• Os adversários criaram uma infraestrutura de phishing, fingindo ser a TASPEN devido ao seu amplo uso na Indonésia, e as vítimas alvo são idosos.
• Idosos, sem saber, se sentem vítimas da campanha ao baixar o aplicativo móvel malicioso do domínio falso, que foi impulsionado pelo SEO.
• Após a execução, o aplicativo malicioso coleta os dados da vítima e também tenta instalar o Banking Trojan Malware em seus telefones celulares, que captura outros dados confidenciais presentes nos aplicativos do telefone.
• Os dados coletados serão transferidos para o C2 Server dos adversários, que serão vendidos em mercados da darknet ou usados para outros fins maliciosos pelos adversários.

‍

2.3. Anatomia do ataque — Estágio 1: distribuição enganosa

Os agentes da ameaça iniciaram a campanha usando uma estratégia de engenharia social altamente convincente.

‍

‍

• O domínio de phishing: O vetor primário de distribuição é o site https://taspen[.]ahngo[.]cc/. O domínio em si foi projetado para parecer plausível para um usuário casual. O site é um clone minimalista, mas eficaz, de uma página de destino legítima de um aplicativo móvel.
• Engenharia social localizada: A página apresenta com destaque a marca oficial da TASPEN e usa o slogan indonésio “Aplikasi Andal, semakin mudah bersama TASPEN” (“Um aplicativo confiável, mais fácil com o TASPEN”) para reforçar sua autenticidade e criar confiança com o público-alvo.
• Botões armados e enganosos: O site exibe botões conhecidos do Google Play e da Apple App Store. O botão do Google Play é usado como arma para iniciar um download direto do APK malicioso, enquanto o botão da App Store funciona como uma isca inteligente, exibindo um alerta em indonésio: “Sistem sedang ditingkatkan” (“O sistema está sendo atualizado”). Isso evita que os usuários do iOS denunciem um link quebrado e reforça a legitimidade dos usuários do Android.
• Ofuscação técnica: A lógica maliciosa do site está intencionalmente oculta. Ele usa JavaScript para buscar uma carga codificada em Base64 de um URL secundário (/x/page). Essa carga útil, uma vez decodificada, contém a verdadeira funcionalidade de download. Esse processo de várias etapas é uma tática deliberada para impedir scanners web simples e automatizados.

‍

3. Aprofundamento técnico: análise de malware

3.1. Desvendando a ameaça: contornando as defesas estáticas com o DPT-Shell

As tentativas iniciais de analisar o APK malicioso com ferramentas de segurança padrão falharam, pois o aplicativo parecia corrompido. Isso é o resultado de uma técnica de evasão intencional conhecida como embalagem.

‍

• Embalagem DEX: O malware é protegido pelo DPT-Shell, um empacotador de shell Android de código aberto. Essa ferramenta criptografa ou oculta o código executável primário do aplicativo (os arquivos.dex), envolvendo-o em um “shell” do carregador.

‍

• Extração de carga útil em tempo de execução: Quando o usuário inicia o aplicativo, o código DPT-Shell é executado primeiro. Ele descriptografa a carga oculta na memória e a grava no diretório code_cache privado do aplicativo. A carga é descartada como um arquivo ZIP (chamado i111111.zip), que contém os arquivos.dex reais e maliciosos. Isso garante que a verdadeira funcionalidade do malware seja exposta apenas em um dispositivo ativo, derrotando os mecanismos de análise estática.

‍

3.2. Capacidades de vigilância de espectro total

Uma vez descompactado, o malware se revela uma ferramenta modular de spyware com uma ampla variedade de recursos intrusivos gerenciados por meio de serviços em segundo plano.

‍

4. Comando, controle e exfiltração de dados

A infraestrutura de comunicação do malware é robusta, criptografada e projetada para controle furtivo e em tempo real e extração de dados.

4.1. A espinha dorsal da comunicação

• Exfiltração de credenciais criptografadas: Quando um usuário insere as credenciais, o malware envia uma solicitação HTTP POST para rpc.syids.top/x/login. A carga está totalmente criptografada. O servidor retorna deliberadamente um erro HTTP 400 de “Solicitação incorreta” com uma mensagem indonésia (“Suas informações estão incorretas...”) para fazer com que a exfiltração apareça como uma simples tentativa fracassada de login.

• O canal WebSocket em tempo real: Para C2 persistente e imediato, o malware usa uma conexão WebSocket. Um arquivo de configuração (LyBW_sp.xml) revela o endpoint: wss: //rpc.syids.top/x/command. Isso permite que os invasores enviem comandos para o dispositivo instantaneamente, um método muito mais eficaz do que a pesquisa tradicional.

‍

4.2. Dicas de atribuição: seguindo a trilha linguística

As evidências apontam fortemente para um adversário que fala chinês. Essa avaliação é baseada em vários indicadores linguísticos independentes:

1. ​​Site de phishing: O JavaScript contém a mensagem de erro (“Falha na busca de dados”).
2. Servidor WebSocket C2: As tentativas de conexão manual com o endpoint C2 retornaram o erro (“Parâmetro ausente, conexão fechada”).

Esses não são artefatos isolados, mas são encontrados em diferentes camadas do ataque, sugerindo um operador consistente.

5. Um adversário resiliente: técnicas de evasão e anti-análise

A sofisticação do malware é ainda mais destacada por suas defesas ativas contra análises de segurança.

5.1. Detectando e fugindo de Frida

Os operadores previram que os pesquisadores de segurança tentariam analisar o comportamento de tempo de execução do aplicativo.

• Detecção de Frida: Quando os ganchos padrão do kit de ferramentas de instrumentação Frida foram injetados, o aplicativo imediatamente os detectou e terminou, gerando uma falha de segmentação. Esse recurso anti-análise é uma característica do malware avançado, projetado para tornar a engenharia reversa significativamente mais difícil.

‍

5.2. Ignorando as defesas para revelar a verdade

Para superar essas defesas, um gancho JavaScript personalizado e mais furtivo foi desenvolvido. Isso permitiu a interceptação de fluxos de dados antes que a criptografia fosse aplicada.

• Interceptando dados em texto sem formatação: o gancho bem-sucedido revelou a carga útil exata do JSON em texto simples enviada ao servidor C2, confirmando o roubo de nome de usuário, senha, número do cartão e metadados do dispositivo.

• Descriptografando a resposta do servidor: a conexão com a rotina de decodificação também revelou a mensagem genérica de falha do servidor em indonésio, confirmando a natureza enganosa de todo o processo.

‍

6. Impacto nos negócios e risco sistêmico na Indonésia

As consequências dessa campanha vão muito além das perdas financeiras individuais, representando uma ameaça estratégica à infraestrutura digital do país.

6.1. Erosão da confiança pública

O principal impacto social é a degradação da confiança entre os cidadãos indonésios e seu governo. Quando uma marca confiável e de longa data como a TASPEN é representada com sucesso, isso pode levar à relutância generalizada em adotar qualquer serviço governamental digital, impedindo o progresso nacional na transformação digital e na inclusão financeira.

6.2. Visando os vulneráveis

A campanha é predatória, visando especificamente aposentados que podem ter níveis mais baixos de alfabetização digital e são mais suscetíveis à engenharia social. Isso pode causar não apenas uma perda financeira devastadora, mas também um sofrimento psicológico significativo e um sentimento de traição por parte das instituições destinadas a protegê-los.

6.3. Danos colaterais ao setor financeiro

A carga operacional e financeira desse ataque recai fortemente sobre os bancos da Indonésia. As consequências incluem:

• Aumento dos custos de suporte ao cliente: Um aumento nas ligações para departamentos de fraude.
• Altas despesas gerais de investigação: O tempo e os recursos necessários para investigar cada caso.
• Possível responsabilidade financeira: A pressão para reembolsar os clientes por fundos roubados.
• Danos à reputação: Os clientes podem culpar seu banco pela falha de segurança, mesmo que o banco não tenha sido o ponto inicial de comprometimento.

6.4. O precedente do risco sistêmico

As táticas, técnicas e procedimentos (TTPs) usados nesta campanha são altamente eficazes e replicáveis. O sucesso da personificação do TASPEN fornece um plano comprovado para os atacantes atacarem outras grandes instituições públicas e privadas da Indonésia. Isso eleva a ameaça de uma única campanha para uma onda potencial de ataques imitadores, representando um risco sistêmico para todo o setor financeiro da Indonésia. As metas futuras em potencial podem incluir:

• BPJS Kesehatan (Saúde)
• Bank Rakyat Indonesia (BRI) e outros grandes bancos estatais
• Principais plataformas de comércio eletrônico e serviços públicos

7. Um cenário regional de ameaças: ataques a fundos de pensão no sudeste da Ásia

O ataque à TASPEN não é um evento isolado, mas um reflexo de uma tendência mais ampla e alarmante no Sudeste Asiático. Os fundos de pensão se tornaram alvos de alta prioridade para agentes de ameaças patrocinados pelo estado e motivados financeiramente devido à sua concentração única de dados confidenciais e vastos ativos financeiros.

7.1. Os adversários que atacam os fundos de pensão do SEA

Duas categorias principais de agentes de ameaças estão ativas nesse espaço:

1. Ameaças persistentes avançadas (APTs) do estado-nação: Grupos de espionagem cibernética, particularmente aqueles ligados à China, como o Earth Kurma, são altamente ativos em atingir setores governamentais em todo o Sudeste Asiático. Seu principal objetivo é o roubo em grande escala de dados de cidadãos para fins de inteligência. O ataque TASPEN, com seus marcadores linguísticos chineses e recursos de coleta de dados (incluindo biometria), está estreitamente alinhado com os TTPs desses atores patrocinados pelo estado.
2. Sindicatos de crimes cibernéticos com motivação financeira: Esses grupos organizados, como a prolífica gangue de ransomware Lockbit, estão focados na monetização direta. Os recursos de roubo de credenciais e interceptação OTP do malware TASPEN são características de suas operações, projetadas para fraudes financeiras eficientes e em grande escala. Isso indica que o malware TASPEN pode ser uma ferramenta usada ou vendida para esses sindicatos.

Essa ameaça regional é ainda mais evidenciada por ações em países vizinhos. Por exemplo, o Fundo Central de Previdência (CPF) de Cingapura foi obrigado a implementar controles de segurança mais fortes para combater fraudes relacionadas a malware, demonstrando que os sistemas previdenciários são um campo de batalha reconhecido e ativo pela segurança cibernética em toda a região.

7.2. Avaliação do impacto monetário potencial da campanha TASPEN

Embora as perdas financeiras exatas dessa campanha específica ainda não tenham sido quantificadas publicamente, uma avaliação de impacto baseada nas capacidades do malware e em incidentes comparáveis revela um potencial de ameaça multimilionário. Os custos vão muito além do roubo inicial.

• Perdas diretas para os membros: Com a capacidade de ignorar a verificação OTP, os invasores podem drenar as contas dos membros. Como referência, um ataque menos sofisticado aos fundos de pensão australianos viu mais de A $500.000 roubados de apenas algumas contas, ilustrando o potencial de perdas rápidas e significativas.
• Custos colaterais para o setor bancário: O setor financeiro carrega uma pesada carga secundária. De acordo com um relatório da IBM de 2024, o custo médio de uma violação de dados no setor financeiro da ASEAN é de aproximadamente 7,5 milhões de dólares. Esse valor inclui os custos de reembolso por fraude, suporte ao cliente, investigações e multas regulatórias.
• Custos institucionais da TASPEN: Como entidade personificada, a TASPEN incorreria em imensos custos relacionados ao gerenciamento de crises, campanhas de relações públicas para reconstruir a confiança destruída, investigações forenses e implementação de atualizações urgentes de segurança.

Considerando esses fatores, uma campanha de malware TASPEN bem-sucedida e generalizada poderia facilmente resultar em dezenas de milhões de dólares em danos econômicos totais.

‍

8. Recomendações estratégicas para uma defesa nacional coordenada

Essa ameaça exige uma resposta unificada e proativa de todas as partes interessadas da sociedade indonésia.

8.1. Para governos e reguladores (KOMINFO, OJK, BSSN):

Duas categorias principais de agentes de ameaças estão ativas nesse espaço:

1. Estabeleça uma estrutura nacional de remoção: crie uma parceria público-privada de resposta rápida para identificar e executar rapidamente a remoção de domínios maliciosos, infraestrutura C2 e aplicativos falsos direcionados a entidades indonésias.
2. Padrões de segurança obrigatórios para aplicativos públicos: aplique uma linha básica de requisitos de segurança para todos os aplicativos oficiais do governo, incluindo auditorias obrigatórias de segurança de terceiros, ofuscação de código e controles antiadulteração.
3. Lance uma campanha nacional de alfabetização digital: financie uma campanha nacional sustentada de conscientização pública, voltada especificamente para idosos, para educá-los sobre como identificar phishing, verificar aplicativos e entender as permissões móveis. Utilize anúncios de serviço público na televisão, rádio e mídias sociais.

8.2. Para instituições financeiras e PT TASPEN:

1. Implemente a detecção avançada de fraudes baseada em comportamento: vá além de sistemas simples baseados em regras. Implemente soluções que analisem o comportamento do usuário e do dispositivo para detectar anomalias, como logins de um dispositivo com aplicativos recém-instalados, descarregados ou padrões de transação incomuns.
2. Aproveite o atestado de dispositivo: utilize serviços como a API Play Integrity do Google para verificar se uma sessão bancária móvel é originária de um dispositivo genuíno e não adulterado e de uma criação de aplicativo legítima, bloqueando sessões de dispositivos comprometidos.
3. Comunicação proativa com o cliente: não espere que os clientes se tornem vítimas. Envie proativamente avisos de segurança claros e concisos por meio de canais oficiais (SMS, e-mail, notificações no aplicativo) alertando sobre ameaças específicas e ativas, como a campanha de falsificação de identidade da TASPEN.

‍

8,3. Para o público indonésio:

1. Use somente lojas de aplicativos oficiais: nunca baixe ou instale aplicativos de sites, mensagens de texto ou links do WhatsApp. Use apenas a Google Play Store oficial ou a Apple App Store.
2. Examine as permissões do aplicativo: suspeite muito de qualquer aplicativo que solicite permissões amplas ou desnecessárias, especialmente acesso a SMS, serviços de acessibilidade ou câmera.
3. Instale um software de segurança móvel confiável: use um aplicativo antivírus móvel confiável de um fornecedor de segurança conhecido que possa ajudar a detectar e bloquear sites conhecidos de malware e phishing.

‍

9. Conclusão

A campanha de malware móvel da TASPEN é uma ilustração preocupante do cenário de ameaças em evolução que a Indonésia enfrenta. À medida que a nação continua sua jornada rápida e louvável em direção a uma sociedade que prioriza o digital, os adversários inevitavelmente atacarão os pontos mais confiáveis e vulneráveis desse novo ecossistema. Este não é um caso simples de fraude financeira; é uma ameaça estratégica voltada para o cerne da confiança pública e da infraestrutura digital crítica. Suas técnicas avançadas de evasão e capacidades de vigilância de espectro total representam um desafio formidável que não pode ser enfrentado por uma única entidade agindo sozinha. Uma defesa bem-sucedida exige um esforço proativo, colaborativo e sustentado do governo, da indústria e do público para construir uma Indonésia digital mais resiliente e segura para todos os seus cidadãos.

‍

Referências

• https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability 
• https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.swfinstitute.org/profile/5ddccda91ec083394cfaad35 
• https://www.taspen.co.id/ 

‍

Apêndice: Indicadores de compromisso (IOCs)

Os seguintes indicadores técnicos estão associados a essa campanha e podem ser usados para detecção e bloqueio.

‍

‍