インドネシアの公式Coretax税務プラットフォームを悪用した高度な詐欺キャンペーンが、推定150万ドルから200万ドルの全国規模の財政的影響をもたらした。
Group-IBがリリースした調査結果によると、この作戦は2025年7月に開始され、2026年1月の全国税務申告期間に激化した。Coretaxウェブサービスになりすまし、ユーザーを悪意のあるモバイルアプリケーションのインストールに騙した。
セキュリティ専門家は、モバイルアプリを介さず公式ウェブサイトを通じてのみアクセス可能なCoretaxがいかに、フィッシングウェブサイト、税務官になりすまし、音声フィッシング(vishing)通話を組み合わせた調整された攻撃チェーンの餌になったかを説明した。
被害者は詐欺的なAPKファイルをダウンロードするよう指示され、これはデバイスへのリモートアクセスと不正な銀行取引を可能にした。
調査官は、このキャンペーンをGoldFactory脅威クラスタにリンクし、Gigabud.RATやMMRatを含む複数のマルウェアファミリーをデプロイした。
Group-IBが調査中に228個の新しいマルウェアサンプルを特定した。このスキームの背後にあるインフラストラクチャは、政府機関、航空会社、年金基金、エネルギープロバイダーに至る16以上の信頼できるブランドになりすまして使用されていた。
モバイルバンキングトロイの木馬についての詳細:新しいAndroid RAT Klopatraが金融データをターゲットに
レポートによると、詐欺師は6700万人のインドネシア人納税者の潜在的なプールをターゲットにした。Group-IBによって保護されている金融機関の中で、詐欺成功率は予測検出システムのため、マルウェアに侵害されたデバイスの0.027%に限定されていた。
より広い財政的影響は、1000人のバンキングユーザーのうち約2.5人に相当する0.025%のデバイス侵害率を使用して計算された。インドネシアの2億8700万人が悪用されたブランドに曝露されている人口に適用すると、損失および関連する運用コストは150万ドルから200万ドルの間と推定された。
研究者は、中央集約型フレームワークを通じて生成された996個のフィッシングURLも発見し、タイ、ベトナム、フィリピン、南アフリカを含む他国への拡張が可能なマルウェア・アズ・ア・サービス(MaaS)モデルを示唆している。
検出と予測防御
キャンペーンは多段階プロセスに依存していた:
-
偽のWhatsApp税務官を介して配布されたフィッシングリンク
-
デバイスをフリーズさせ、データを収集する悪意のあるアプリケーションのインストール
-
被害者に所謂税金支払いの送金を強要する音声通話
-
銀行認証情報とOTPコードをキャプチャするスクリーンレコーディング
-
リモートアカウント乗っ取り(ATO)とミュールネットワークを通じた資金移動
Group-IBは、署名分析、行動監視、文脈的インテリジェンスを組み合わせた層状検出により、クライアント間の損失を減らしたと述べた。
インフラストラクチャパターンをマッピングしてブランドになりすましトレンドを予測することで、企業は資金が引き出される前にほとんどの詐欺取引を防止したと報告した。
調査結果は、調整されたマルウェア操作がどのようにデジタル公共サービスへの信頼を損なうかを示しており、特に国家税システムなどの重大なプラットフォームを悪用する場合に顕著である。
翻訳元: https://www.infosecurity-magazine.com/news/fake-coretax-apps-fraud-indonesia/
