Tanzeem Mobile -haittaohjelma
DoNot Team, tunnettu uhkatekijä, on yhdistetty uusiin Android-haittaohjelmiin, jotka tunnetaan nimellä Tanzeem ja Tanzeem Update. Nämä uhat, jotka paljastettiin loka- ja joulukuussa 2024, ovat osa tarkasti kohdennettuja kyberhyökkäyksiä. Huolimatta pienistä vaihteluista käyttöliittymässä molemmilla sovelluksilla on lähes identtiset toiminnot.
Chat-sovelluksina laskutetut sovellukset lakkaavat toimimasta asennuksen jälkeen ja sammuvat, kun käyttäjä on myöntänyt tarvittavat käyttöoikeudet. Niiden suunnittelu vihjaa keskittymiseen tiettyihin yksilöihin tai ryhmiin, jotka mahdollisesti kohdistuvat sekä kotimaisiin että kansainvälisiin kokonaisuuksiin.
Sisällysluettelo
DoNot Teamin alkuperän ja historiallisten toimintojen purkaminen
DoNot Teamin , joka tunnetaan myös nimellä APT-C-35, Origami Elephant, SECTOR02 ja Viceroy Tiger, uskotaan toimivan Intiasta. Ryhmä on aiemmin käyttänyt phishing-sähköpostiviestejä ja Android-haittaohjelmia arvokkaan tiedon keräämiseen. Lokakuussa 2023 ryhmä yhdistettiin Firebirdiin , .NET-pohjaiseen takaoveen, joka on suunnattu uhreille Pakistanissa ja Afganistanissa.
Vaikka Tanzeem-haittaohjelman tarkat kohteet ovat edelleen epäselviä, ryhmän epäillään pyrkineen keräämään tiedustelutietoja havaituista sisäisistä uhista.
Teknologian hyväksikäyttö: laillisten alustojen väärinkäyttö
Yksi merkittävimmistä Tanzeem-haittaohjelmaan liittyvistä taktiikoista on OneSignalin, laillisen asiakkaiden sitouttamisalustan, käyttö. Vaikka alustaa käytetään tyypillisesti push-ilmoituksiin, sovelluksen sisäisiin viesteihin ja muihin viestintätyökaluihin, tutkijat uskovat, että alustaa käytettiin väärin tietojenkalastelulinkkien lähettämiseen, jotka ottavat käyttöön muita haittaohjelmia.
Väärennetyt ominaisuudet, joilla on haitallinen tarkoitus
Asennuksen jälkeen Tanzeem-sovellus näyttää väärennetyn chat-käyttöliittymän, joka kehottaa uhreja napsauttamaan "Aloita keskustelu" -painiketta. Sovellus kehottaa sitten käyttäjiä myöntämään käyttöoikeudet Accessibility Services API:lle. Näillä käyttöoikeuksilla sovellus voi suorittaa useita vaarallisia toimintoja.
Hallitsemisen saaminen: Käyttöoikeudet on hyödynnetty
Tanzeem-sovellus pyytää pääsyä useisiin arkaluontoisiin käyttöoikeuksiin, mikä mahdollistaa sen:
- Kerää puhelulokit, yhteystietoluettelot ja tekstiviestit.
- Seuraa tarkkaa käyttäjien sijaintia.
- Käytä tilitietoja ja ulkoisia tallennustiedostoja.
Nämä luvat antavat sovellukselle mahdollisuuden kerätä ja lähettää arkaluonteisia tietoja, mikä vaarantaa merkittävästi käyttäjien yksityisyyden.
Pysyvyyden varmistaminen: Push-ilmoitukset taktiikkana
Tanzeem-haittaohjelman erottuva piirre on se, että se käyttää push-ilmoituksia, jotka kannustavat asentamaan uusia Android-haittaohjelmia. Tämä lähestymistapa ei vain lisää haittaohjelmien pysyvyyttä, vaan myös korostaa DoNot-tiimin kehittyvää taktiikkaa heidän pyrkimyksissään ylläpitää pääsyä ja kerätä tiedustelutietoja kansallisia etuja varten.
Tanzeem-haittaohjelma korostaa DoNot Teamin kekseliäisyyttä olemassa olevien alustojen ja käyttöoikeuksien hyödyntämisessä toimintojensa suorittamiseen. Näiden hyökkäysten kohdennettu luonne ja käytetty edistynyt taktiikka muistuttavat meitä jatkuvasti kehittyvästä kyberuhkien maisemasta. Valppaana ja varovaisuutena pysyminen on ratkaisevan tärkeää tällaisissa haasteissa.
