Tanzeem Mobile Malware
A DoNot Team, egy ismert fenyegetettség, a Tanzeem és a Tanzeem Update néven azonosított új androidos rosszindulatú szoftverekhez kapcsolódtak. Ezek a 2024 októberében és decemberében feltárt fenyegetések erősen célzott kibertámadások részét képezik. A felhasználói felület enyhe eltérései ellenére mindkét alkalmazás közel azonos funkciókkal rendelkezik.
A csevegőalkalmazásokként számlázott alkalmazások a telepítés után leállnak, és leállnak, miután a felhasználó megadja a szükséges engedélyeket. Kialakításuk arra utal, hogy konkrét személyekre vagy csoportokra összpontosítanak, potenciálisan hazai és nemzetközi szervezeteket is megcélozva.
Tartalomjegyzék
A DoNot Team eredetének és történelmi műveleteinek kicsomagolása
Az APT-C-35, az Origami Elephant, a SECTOR02 és a Viceroy Tiger néven is ismert DoNot Team a feltételezések szerint Indiából indul ki. A csoport korábban használt adathalász e-maileket és Android rosszindulatú programokat értékes intelligencia gyűjtésére. 2023 októberében a csoport kapcsolatba került a Firebirddel , egy .NET-alapú háttérajtóval, amely Pakisztánban és Afganisztánban áldozatokat céloz meg.
Míg a Tanzeem kártevő pontos célpontjai továbbra is tisztázatlanok, a csoport a gyanú szerint az észlelt belső fenyegetésekkel kapcsolatos információk gyűjtése volt.
A technológia kihasználása: A törvényes platformokkal való visszaélés
A Tanzeem malware-hez kapcsolódó egyik legfigyelemreméltóbb taktika a OneSignal, egy legitim ügyfélelköteleződési platform használata. Bár általában push értesítésekhez, alkalmazáson belüli üzenetekhez és egyéb kommunikációs eszközökhöz használják, a kutatók úgy vélik, hogy a platformot visszaélték adathalász linkek küldésére, amelyek további rosszindulatú programokat telepítenek.
Hamis tulajdonságok ártalmas szándékkal
Telepítéskor a Tanzeem alkalmazás megjelenít egy hamis csevegési felületet, amely arra kéri az áldozatokat, hogy kattintson a „Csevegés indítása” gombra. Az alkalmazás ezután felkéri a felhasználókat, hogy adjanak engedélyt az Accessibility Services API-hoz. Ezekkel az engedélyekkel az alkalmazás számos nem biztonságos műveletet hajthat végre.
Irányítás megszerzése: A kihasznált engedélyek
A Tanzeem alkalmazás számos bizalmas engedélyhez kér hozzáférést, lehetővé téve számára, hogy:
- Hívásnaplók, névjegyzékek és SMS-üzenetek gyűjtése.
- Kövesse nyomon a felhasználók pontos helyét.
- Hozzáférés a fiókadatokhoz és a külső tárolófájlokhoz.
Ezek az engedélyek lehetővé teszik az alkalmazás számára, hogy érzékeny adatokat gyűjtsön össze és továbbítson, ami jelentősen veszélyezteti a felhasználók adatait.
A kitartás biztosítása: Push Notifications mint taktika
A Tanzeem kártevő megkülönböztető jellemzője, hogy push értesítéseket használ további Android rosszindulatú programok telepítésére. Ez a megközelítés nemcsak a rosszindulatú szoftverek tartósságát növeli, hanem a DoNot Team fejlődő taktikáját is kiemeli a hozzáférés fenntartására és a nemzeti érdekek érdekében történő információgyűjtésre irányuló erőfeszítéseikben.
A Tanzeem rosszindulatú program kiemeli a DoNot Team találékonyságát a meglévő platformok és engedélyek kihasználása terén a műveletek végrehajtásához. E támadások célzott jellege és az alkalmazott fejlett taktikák a kiberfenyegetések folyamatosan változó környezetére emlékeztetnek bennünket. Az éberség és az óvatosság létfontosságú az ilyen kihívások kezelésében.
