Programari maliciós mòbil Tanzeem
L'equip DoNot, un conegut actor d'amenaces, s'ha connectat al nou programari maliciós d'Android identificat com a Tanzeem i Tanzeem Update. Aquestes amenaces, descobertes a l'octubre i desembre de 2024, formen part d'atacs cibernètics molt específics. Malgrat les seves lleugeres variacions en la interfície d'usuari, ambdues aplicacions comparteixen funcionalitats gairebé idèntiques.
Facturades com a aplicacions de xat, les aplicacions deixen de funcionar un cop instal·lades i es tanquen després que l'usuari concedeixi els permisos necessaris. El seu disseny apunta a un enfocament en individus o grups específics, potencialment dirigits a entitats nacionals i internacionals.
Taula de continguts
Desempaquetant els orígens i les operacions històriques de l'equip DoNot
També conegut com APT-C-35, Origami Elephant, SECTOR02 i Viceroy Tiger, es creu que l' equip DoNot opera des de l'Índia. El grup té un historial d'ús de correus electrònics de pesca i programari maliciós d'Android per recollir informació valuosa. L'octubre de 2023, el grup es va vincular a Firebird , una porta posterior basada en .NET dirigida a víctimes al Pakistan i l'Afganistan.
Tot i que els objectius exactes del programari maliciós Tanzeem encara no estan clars, se sospita que el grup té com a objectiu recollir informació sobre les amenaces internes percebudes.
Explotació de la tecnologia: l'abús de plataformes legítimes
Una de les tàctiques més notables associades al programari maliciós Tanzeem és el seu ús de OneSignal, una plataforma legítima de participació del client. Tot i que s'utilitza habitualment per a notificacions push, missatges dins de l'aplicació i altres eines de comunicació, els investigadors creuen que la plataforma s'ha fet un mal ús per enviar enllaços de pesca que despleguen programari maliciós addicional.
Funcions falses amb intenció nociva
Després de la instal·lació, l'aplicació Tanzeem mostra una interfície de xat falsa, instant a les víctimes a fer clic al botó "Iniciar xat". Aleshores, l'aplicació demana als usuaris que concedeixin permisos a l'API de serveis d'accessibilitat. Amb aquests permisos, l'aplicació pot realitzar una varietat d'accions no segures.
Aconseguint el control: els permisos explotats
L'aplicació Tanzeem sol·licita accés a diversos permisos sensibles, que li permeten:
- Recolliu registres de trucades, llistes de contactes i missatges SMS.
- Feu un seguiment de les ubicacions precises dels usuaris.
- Accediu als detalls del compte i als fitxers d'emmagatzematge extern.
Aquests permisos permeten a l'aplicació recopilar i transmetre dades sensibles, comprometent significativament la privadesa de l'usuari.
Garantir la persistència: les notificacions push com a tàctica
Una característica distintiva del programari maliciós Tanzeem és l'ús de notificacions push per fomentar la instal·lació de programari maliciós per a Android addicional. Aquest enfocament no només millora la persistència del programari maliciós, sinó que també subratlla les tàctiques en evolució de l'equip DoNot en els seus esforços per mantenir l'accés i recopilar informació per als interessos nacionals.
El programari maliciós Tanzeem destaca l'enginy de l'equip DoNot per aprofitar les plataformes i els permisos existents per executar les seves operacions. La naturalesa dirigida d'aquests atacs i les tàctiques avançades emprades ens recorden el panorama en constant evolució de les amenaces cibernètiques. Mantenir-se vigilant i prudent és crucial per afrontar aquests reptes.
