Tanzeem Mobile Malware
DoNot Team, poznati akter prijetnji, povezan je s novim zlonamjernim softverom za Android identificiranim kao Tanzeem i Tanzeem Update. Ove prijetnje, otkrivene u listopadu i prosincu 2024., dio su vrlo ciljanih kibernetičkih napada. Unatoč malim varijacijama u korisničkom sučelju, obje aplikacije dijele gotovo identične funkcije.
Naplaćene kao aplikacije za chat, aplikacije prestaju funkcionirati nakon instaliranja, zatvarajući se nakon što korisnik odobri potrebna dopuštenja. Njihov dizajn upućuje na fokus na određene pojedince ili skupine, potencijalno ciljajući na domaće i međunarodne subjekte.
Sadržaj
Raspakiranje podrijetla i povijesnih operacija DoNot tima
Također poznat kao APT-C-35, Origami Elephant, SECTOR02 i Viceroy Tiger, vjeruje se da DoNot Team djeluje iz Indije. Grupa ima povijest korištenja e-pošte za krađu identiteta i zlonamjernog softvera za Android za prikupljanje vrijednih obavještajnih podataka. U listopadu 2023. grupa je bila povezana s Firebirdom , backdoorom temeljenim na .NET-u koji cilja žrtve u Pakistanu i Afganistanu.
Dok točne mete zlonamjernog softvera Tanzeem ostaju nejasne, sumnja se da je grupa namjeravala prikupiti obavještajne podatke o percipiranim unutarnjim prijetnjama.
Iskorištavanje tehnologije: Zlouporaba legitimnih platformi
Jedna od najistaknutijih taktika povezanih sa zlonamjernim softverom Tanzeem je njegova upotreba OneSignala, legitimne platforme za angažman kupaca. Iako se obično koristi za push obavijesti, poruke unutar aplikacije i druge komunikacijske alate, istraživači vjeruju da je platforma zloupotrijebljena za slanje veza za krađu identiteta koje postavljaju dodatni zlonamjerni softver.
Lažne značajke sa štetnom namjerom
Nakon instalacije, aplikacija Tanzeem prikazuje lažno sučelje za chat, potičući žrtve da kliknu gumb 'Pokreni razgovor'. Aplikacija potom traži od korisnika da daju dopuštenja Accessibility Services API-ju. S tim dopuštenjima aplikacija može izvoditi razne nesigurne radnje.
Stjecanje kontrole: Iskorištena dopuštenja
Aplikacija Tanzeem zahtijeva pristup nekoliko osjetljivih dozvola, što joj omogućuje:
- Prikupite zapise poziva, popise kontakata i SMS poruke.
- Pratite precizne lokacije korisnika.
- Pristup pojedinostima o računu i datotekama vanjske pohrane.
Ova dopuštenja omogućuju aplikaciji prikupljanje i prijenos osjetljivih podataka, značajno ugrožavajući privatnost korisnika.
Osiguravanje postojanosti: Push obavijesti kao taktika
Posebnost zlonamjernog softvera Tanzeem je njegova upotreba push obavijesti za poticanje instalacije dodatnog zlonamjernog softvera za Android. Ovaj pristup ne samo da povećava postojanost zlonamjernog softvera, već također naglašava razvoj taktike tima DoNot u njihovim naporima da zadrže pristup i prikupe obavještajne podatke za nacionalne interese.
Zlonamjerni softver Tanzeem naglašava snalažljivost DoNot tima u iskorištavanju postojećih platformi i dopuštenja za izvršavanje njihovih operacija. Ciljana priroda ovih napada i korištene napredne taktike podsjećaju nas na krajolik cyber prijetnji koji se neprestano razvija. Ostati budan i oprezan od ključne je važnosti u suočavanju s takvim izazovima.
