Tanzeem Mobile Malware
Екипът DoNot, известен актьор като заплаха, е свързан с нов зловреден софтуер за Android, идентифициран като Tanzeem и Tanzeem Update. Тези заплахи, разкрити през октомври и декември 2024 г., са част от силно насочени кибератаки. Въпреки леките си вариации в потребителския интерфейс, и двете приложения споделят почти идентични функции.
Таксувани като приложения за чат, приложенията престават да функционират, след като бъдат инсталирани, като се изключват, след като потребителят даде необходимите разрешения. Техният дизайн загатва за фокусиране върху конкретни лица или групи, потенциално насочени както към местни, така и към международни организации.
Съдържание
Разопаковане на произхода и историческите операции на DoNot Team
Известен също като APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger, се смята, че DoNot Team работи от Индия. Групата има история на използване на фишинг имейли и зловреден софтуер за Android за събиране на ценна информация. През октомври 2023 г. групата беше свързана с Firebird , базирана на .NET задна врата, насочена към жертви в Пакистан и Афганистан.
Въпреки че точните цели на злонамерения софтуер Tanzeem остават неясни, групата е заподозряна, че има за цел да събира разузнавателна информация за предполагаеми вътрешни заплахи.
Експлоатиране на технологии: Злоупотреба с легитимни платформи
Една от най-забележителните тактики, свързани със злонамерения софтуер Tanzeem, е използването му на OneSignal, легитимна платформа за ангажиране на клиенти. Въпреки че обикновено се използва за насочени известия, съобщения в приложението и други комуникационни инструменти, изследователите смятат, че платформата е злоупотребена за изпращане на фишинг връзки, които внедряват допълнителен зловреден софтуер.
Фалшиви функции с вредни намерения
При инсталиране приложението Tanzeem показва фалшив интерфейс за чат, призовавайки жертвите да кликнат върху бутона „Стартиране на чат“. След това приложението подканва потребителите да предоставят разрешения на API за услуги за достъпност. С тези разрешения приложението може да извършва различни опасни действия.
Получаване на контрол: Използваните разрешения
Приложението Tanzeem изисква достъп до няколко чувствителни разрешения, което му позволява да:
- Събирайте дневници на обажданията, списъци с контакти и SMS съобщения.
- Проследявайте точните местоположения на потребителите.
- Достъп до подробности за акаунта и външни файлове за съхранение.
Тези разрешения позволяват на приложението да събира и предава чувствителни данни, което значително компрометира поверителността на потребителите.
Осигуряване на постоянство: Push известия като тактика
Отличителна черта на злонамерения софтуер Tanzeem е използването на насочени известия за насърчаване на инсталирането на допълнителен зловреден софтуер за Android. Този подход не само подобрява устойчивостта на злонамерения софтуер, но също така подчертава развиващите се тактики на DoNot Team в усилията им да поддържат достъп и да събират разузнавателна информация за националните интереси.
Зловреден софтуер Tanzeem подчертава изобретателността на DoNot Team в използването на съществуващи платформи и разрешения за изпълнение на техните операции. Целевият характер на тези атаки и използваните усъвършенствани тактики ни напомнят за непрекъснато развиващия се пейзаж на кибернетични заплахи. Оставането на бдителност и предпазливост е от решаващо значение за справяне с подобни предизвикателства.
