חברת אבטחת הסייבר CYFIRMA מדווחת כי קבוצת הסייבר הפקיסטנית APT36 יצרה אתר מזויף המתחזה למערכת הדואר הציבורי של הודו, כחלק ממתקפת סייבר שנועדה להדביק בנוזקות משתמשי Windows ומשתמשי אנדרואיד במדינה. אתר הונאה המחקה את India Post בשם 'postindia[.]' הציג בפני משתמשי Windows מסמך PDF להורדה, בעוד שלמבקרים ממכשיר אנדרואיד הוצג קובץ זדוני בשם 'indiapost.apk'. לפי CYFIRMA, הציג האתר קובץ PDF זדוני המכיל טקטיקות 'ClickFix' – המסמך מורה למשתמשים ללחוץ על מקשי Win + R, להדביק פקודת PowerShell שסופקה בתיבת הדו-שיח 'הפעלה' – הפעלה המסכנת את מערכת המחשוב.
ניתוח של נתוני ה- EXIF הקשורים ל- PDF, מראה שהוא נוצר ב- 23 באוקטובר 2024, על ידי מחבר בשם 'PMYLS' וזהו הקשר סביר לתוכנית המחשבים הניידים של ראש ממשלת פקיסטן לצעירים. הדומיין המתחזה ל- India Post נרשם כחודש לאחר מכן ב- 20 בנובמבר 2024. כאשר מבקרים באותו אתר ממכשיר אנדרואיד, נקראים המשתמשים להתקין אפליקציה לנייד שלהם באמתלה של חוויה טובה יותר.לאחר ההתקנה מבקשת האפליקציה הרשאות נרחבות המאפשרות לה לאסוף ולגנוב נתונים רגישים, כולל רשימות אנשי קשר, מיקום נוכחי וקבצים מאחסון חיצוני. "אפליקציית האנדרואיד משנה את הסמל שלה כדי לחקות סמל לא מחשיד של חשבונות Google כדי להסתיר את פעילותה, מה שמקשה על המשתמש לאתר ולהסיר את האפליקציה כאשר הוא רוצה להסיר אותה", מסרה CYFIRMA והוסיפה: "לאפליקציה יש גם תכונה המאלצת את המשתמשים לקבל הרשאות אם הם יידחו בשלב הראשון." יש לציין כי האפליקציה הזדונית נועדה גם לרוץ ברקע ברציפות גם לאחר הפעלה מחדש של המכשיר, תוך חיפוש מפורש של הרשאות והתעלמות מאופטימיזציה של הסוללה.
לדברי CYFIRMA מנוצלת טקטיקת ClickFix יותר ויותר על ידי פושעי סייבר והאקרים: "טקטיקה זו מהווה איום משמעותי מכיוון שהיא יכולה לנצל הן משתמשים תמימים והן משתמשים בעלי ידע טכנולוגי שאולי לא מכירים שיטות כאלו."
