Mobilní malware Tanzeem
Tým DoNot, známý aktér hrozeb, byl připojen k novému malwaru Android identifikovanému jako Tanzeem a Tanzeem Update. Tyto hrozby, odhalené v říjnu a prosinci 2024, jsou součástí vysoce cílených kybernetických útoků. Navzdory jejich mírným odchylkám v uživatelském rozhraní sdílejí obě aplikace téměř identické funkce.
Účtované jako chatovací aplikace, aplikace přestanou fungovat po instalaci a vypnou se poté, co uživatel udělí požadovaná oprávnění. Jejich design naznačuje zaměření na konkrétní jednotlivce nebo skupiny, potenciálně zaměřené na domácí i mezinárodní subjekty.
Obsah
Rozbalení počátků a historických operací týmu DoNot
Tým DoNot, známý také jako APT-C-35, Origami Elephant, SECTOR02 a Viceroy Tiger, působí z Indie. Tato skupina již v minulosti používala e-maily typu spear-phishing a malware pro Android ke shromažďování cenných informací. V říjnu 2023 byla tato skupina propojena s Firebirdem , zadním vrátkem založeným na .NET zaměřeném na oběti v Pákistánu a Afghánistánu.
Zatímco přesné cíle malwaru Tanzeem zůstávají nejasné, skupina je podezřelá, že se snaží shromažďovat informace o vnímaných vnitřních hrozbách.
Využívání technologie: zneužívání legitimních platforem
Jednou z nejpozoruhodnějších taktik spojených s malwarem Tanzeem je použití OneSignal, legitimní platformy pro zapojení zákazníků. Ačkoli se platforma obvykle používá pro oznámení push, zprávy v aplikaci a další komunikační nástroje, vědci se domnívají, že byla zneužita k odesílání phishingových odkazů, které nasazují další malware.
Falešné funkce se škodlivým úmyslem
Po instalaci aplikace Tanzeem zobrazí falešné chatovací rozhraní, které vyzývá oběti, aby klikly na tlačítko 'Zahájit chat'. Aplikace poté vyzve uživatele, aby udělili oprávnění k rozhraní API služeb usnadnění. S těmito oprávněními může aplikace provádět různé nebezpečné akce.
Získání kontroly: Využití oprávnění
Aplikace Tanzeem vyžaduje přístup k několika citlivým oprávněním, které jí umožňují:
- Sbírejte protokoly hovorů, seznamy kontaktů a SMS zprávy.
- Sledujte přesné polohy uživatelů.
- Získejte přístup k podrobnostem účtu a souborům externího úložiště.
Tato oprávnění umožňují aplikaci shromažďovat a přenášet citlivá data, což výrazně narušuje soukromí uživatelů.
Zajištění vytrvalosti: Push Notifications jako taktika
Charakteristickým rysem malwaru Tanzeem je jeho použití push notifikací k podpoře instalace dalšího malwaru pro Android. Tento přístup nejen zvyšuje perzistenci malwaru, ale také podtrhuje vyvíjející se taktiku týmu DoNot v jejich snaze zachovat přístup a shromažďovat informace pro národní zájmy.
Malware Tanzeem zdůrazňuje vynalézavost týmu DoNot při využívání stávajících platforem a oprávnění k provádění jejich operací. Cílená povaha těchto útoků a použité pokročilé taktiky nám připomínají neustále se vyvíjející prostředí kybernetických hrozeb. Zůstat bdělý a opatrný je pro zvládnutí takových výzev zásadní.
