برنامج Tanzeem الخبيث للأجهزة المحمولة

تم ربط فريق DoNot، وهو جهة تهديد معروفة، ببرامج ضارة جديدة تعمل على نظام التشغيل أندرويد تم تحديدها باسم Tanzeem وTanzeem Update. هذه التهديدات، التي تم الكشف عنها في أكتوبر وديسمبر 2024، هي جزء من هجمات إلكترونية مستهدفة للغاية. وعلى الرغم من الاختلافات الطفيفة في واجهة المستخدم، فإن كلا التطبيقين يشتركان في وظائف متطابقة تقريبًا.

تُعرف هذه التطبيقات باسم تطبيقات الدردشة، وتتوقف عن العمل بمجرد تثبيتها، ثم تغلق بعد أن يمنح المستخدم الأذونات المطلوبة. ويشير تصميمها إلى التركيز على أفراد أو مجموعات محددة، مما قد يستهدف الكيانات المحلية والدولية.

تفكيك أصول فريق DoNot وعملياته التاريخية

يُعتقد أن فريق DoNot، المعروف أيضًا باسم APT-C-35 وOrigami Elephant وSECTOR02 وViceroy Tiger، يعمل من الهند. تتمتع المجموعة بتاريخ من استخدام رسائل البريد الإلكتروني الاحتيالية وبرامج التجسس التي تعمل بنظام Android لجمع معلومات استخباراتية قيمة. في أكتوبر 2023، تم ربط المجموعة بـ Firebird ، وهو برنامج تجسس خلفي قائم على .NET يستهدف الضحايا في باكستان وأفغانستان.

في حين أن الأهداف الدقيقة لبرامج "تنظيم" الخبيثة لا تزال غير واضحة، يشتبه في أن المجموعة تهدف إلى جمع المعلومات الاستخباراتية حول التهديدات الداخلية المزعومة.

استغلال التكنولوجيا: إساءة استخدام المنصات المشروعة

من أبرز التكتيكات المرتبطة ببرمجية Tanzeem الخبيثة استخدام OneSignal، وهي منصة شرعية للتواصل مع العملاء. وفي حين تُستخدم هذه المنصة عادة لإرسال الإشعارات الفورية والرسائل داخل التطبيق وأدوات الاتصال الأخرى، يعتقد الباحثون أن المنصة أسيء استخدامها لإرسال روابط تصيد تنشر برامج ضارة إضافية.

ميزات مزيفة ذات نية ضارة

عند التثبيت، يعرض تطبيق Tanzeem واجهة دردشة مزيفة، ويحث الضحايا على النقر فوق زر "بدء الدردشة". ثم يطلب التطبيق من المستخدمين منح الأذونات لواجهة برمجة تطبيقات خدمات إمكانية الوصول. وباستخدام هذه الأذونات، يمكن للتطبيق تنفيذ مجموعة متنوعة من الإجراءات غير الآمنة.

اكتساب السيطرة: الأذونات المستغلة

يطلب تطبيق "تنظيم" الوصول إلى العديد من الأذونات الحساسة، مما يمكّنه من:

• جمع سجلات المكالمات وقوائم جهات الاتصال والرسائل النصية القصيرة.
• تتبع مواقع المستخدمين بدقة.
• الوصول إلى تفاصيل الحساب وملفات التخزين الخارجية.

تسمح هذه الأذونات للتطبيق بجمع ونقل البيانات الحساسة، مما يعرض خصوصية المستخدم للخطر بشكل كبير.

ضمان الاستمرارية: الإشعارات الفورية كتكتيك

من السمات المميزة لبرنامج "تنظيم" الخبيث استخدامه للإشعارات الفورية لتشجيع تثبيت برامج خبيثة إضافية تعمل على نظام التشغيل أندرويد. ولا يعمل هذا النهج على تعزيز استمرارية البرنامج الخبيث فحسب، بل ويؤكد أيضًا على التكتيكات المتطورة لفريق "عدم السماح بالاختراق" في جهودهم للحفاظ على الوصول وجمع المعلومات الاستخباراتية للمصالح الوطنية.

يسلط برنامج Tanzeem الخبيث الضوء على براعة فريق DoNot في الاستفادة من المنصات والأذونات الحالية لتنفيذ عملياتهم. إن الطبيعة المستهدفة لهذه الهجمات والتكتيكات المتقدمة المستخدمة تذكرنا بالمشهد المتطور باستمرار للتهديدات السيبرانية. إن البقاء يقظًا وحذرًا أمر بالغ الأهمية في التعامل مع مثل هذه التحديات.