Κακόβουλο λογισμικό Tanzeem Mobile
Η ομάδα DoNot, ένας γνωστός παράγοντας απειλών, έχει συνδεθεί με νέο κακόβουλο λογισμικό Android που προσδιορίζεται ως Tanzeem και Tanzeem Update. Αυτές οι απειλές, που αποκαλύφθηκαν τον Οκτώβριο και τον Δεκέμβριο του 2024, αποτελούν μέρος άκρως στοχευμένων κυβερνοεπιθέσεων. Παρά τις μικρές παραλλαγές στη διεπαφή χρήστη, και οι δύο εφαρμογές μοιράζονται σχεδόν ίδιες λειτουργίες.
Τιμολογούνται ως εφαρμογές συνομιλίας, οι εφαρμογές παύουν να λειτουργούν μόλις εγκατασταθούν, τερματίζοντας αφού ο χρήστης χορηγήσει τα απαιτούμενα δικαιώματα. Ο σχεδιασμός τους υποδηλώνει την εστίαση σε συγκεκριμένα άτομα ή ομάδες, στοχεύοντας δυνητικά τόσο εγχώριες όσο και διεθνείς οντότητες.
Πίνακας περιεχομένων
Αποσυσκευασία της προέλευσης και των ιστορικών λειτουργιών της DoNot Team
Επίσης γνωστό ως APT-C-35, Origami Elephant, SECTOR02 και Viceroy Tiger, η ομάδα DoNot πιστεύεται ότι λειτουργεί από την Ινδία. Η ομάδα έχει ιστορικό χρήσης emails spear-phishing και κακόβουλου λογισμικού Android για τη συλλογή πολύτιμων πληροφοριών. Τον Οκτώβριο του 2023, η ομάδα συνδέθηκε με το Firebird , ένα backdoor με βάση το .NET που στοχεύει θύματα στο Πακιστάν και το Αφγανιστάν.
Ενώ οι ακριβείς στόχοι του κακόβουλου λογισμικού Tanzeem παραμένουν ασαφείς, η ομάδα θεωρείται ύποπτη ότι στοχεύει στη συλλογή πληροφοριών σχετικά με τις αντιληπτές εσωτερικές απειλές.
Εκμετάλλευση τεχνολογίας: Η κατάχρηση νόμιμων πλατφορμών
Μία από τις πιο αξιοσημείωτες τακτικές που σχετίζονται με το κακόβουλο λογισμικό Tanzeem είναι η χρήση του OneSignal, μιας νόμιμης πλατφόρμας αφοσίωσης πελατών. Ενώ συνήθως χρησιμοποιείται για ειδοποιήσεις push, μηνύματα εντός εφαρμογής και άλλα εργαλεία επικοινωνίας, οι ερευνητές πιστεύουν ότι η πλατφόρμα χρησιμοποιήθηκε κατάχρηση για την αποστολή συνδέσμων phishing που αναπτύσσουν πρόσθετο κακόβουλο λογισμικό.
Ψεύτικα χαρακτηριστικά με επιβλαβή πρόθεση
Κατά την εγκατάσταση, η εφαρμογή Tanzeem εμφανίζει μια ψεύτικη διεπαφή συνομιλίας, προτρέποντας τα θύματα να κάνουν κλικ σε ένα κουμπί «Έναρξη συνομιλίας». Στη συνέχεια, η εφαρμογή ζητά από τους χρήστες να εκχωρήσουν δικαιώματα στο API υπηρεσιών προσβασιμότητας. Με αυτά τα δικαιώματα, η εφαρμογή μπορεί να εκτελέσει μια ποικιλία από μη ασφαλείς ενέργειες.
Απόκτηση ελέγχου: Τα δικαιώματα εκμετάλλευσης
Η εφαρμογή Tanzeem ζητά πρόσβαση σε πολλά ευαίσθητα δικαιώματα, επιτρέποντάς της να:
- Συλλέξτε αρχεία καταγραφής κλήσεων, λίστες επαφών και μηνύματα SMS.
- Παρακολούθηση ακριβών τοποθεσιών χρηστών.
- Πρόσβαση σε στοιχεία λογαριασμού και αρχεία εξωτερικού χώρου αποθήκευσης.
Αυτές οι άδειες επιτρέπουν στην εφαρμογή να συλλέγει και να μεταδίδει ευαίσθητα δεδομένα, διακυβεύοντας σημαντικά το απόρρητο των χρηστών.
Εξασφάλιση επιμονής: Push Notifications ως τακτική
Ένα χαρακτηριστικό γνώρισμα του κακόβουλου λογισμικού Tanzeem είναι η χρήση ειδοποιήσεων push για την ενθάρρυνση της εγκατάστασης πρόσθετου κακόβουλου λογισμικού Android. Αυτή η προσέγγιση όχι μόνο ενισχύει την επιμονή του κακόβουλου λογισμικού, αλλά υπογραμμίζει επίσης τις εξελισσόμενες τακτικές της Ομάδας DoNot στις προσπάθειές της να διατηρήσουν την πρόσβαση και να συγκεντρώσουν πληροφορίες για τα εθνικά συμφέροντα.
Το κακόβουλο λογισμικό Tanzeem υπογραμμίζει την επινοητικότητα της Ομάδας DoNot όσον αφορά τη μόχλευση των υπαρχουσών πλατφορμών και των αδειών για την εκτέλεση των λειτουργιών τους. Η στοχευμένη φύση αυτών των επιθέσεων και οι προηγμένες τακτικές που χρησιμοποιούνται μας θυμίζουν το συνεχώς εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο. Η παραμονή σε επαγρύπνηση και προσοχή είναι ζωτικής σημασίας για την αντιμετώπιση τέτοιων προκλήσεων.
