Tanzeem 모바일 맬웨어
알려진 위협 행위자인 DoNot Team은 Tanzeem과 Tanzeem Update로 식별된 새로운 Android 맬웨어와 연결되었습니다. 2024년 10월과 12월에 발견된 이러한 위협은 매우 타깃이 지정된 사이버 공격의 일부입니다. 사용자 인터페이스가 약간 다르지만 두 앱은 거의 동일한 기능을 공유합니다.
채팅 애플리케이션으로 청구된 이 애플리케이션은 설치되면 작동을 멈추고, 사용자가 필요한 권한을 부여하면 종료됩니다. 이들의 디자인은 특정 개인이나 그룹에 초점을 맞추고, 잠재적으로 국내 및 국제적 기관을 모두 타겟팅하는 것을 암시합니다.
목차
DoNot 팀의 기원과 역사적 운영에 대한 풀이
APT-C-35, Origami Elephant, SECTOR02, Viceroy Tiger로도 알려진 DoNot Team은 인도에서 운영되는 것으로 알려져 있습니다. 이 그룹은 스피어 피싱 이메일과 안드로이드 맬웨어를 사용하여 귀중한 정보를 수집한 전력이 있습니다. 2023년 10월, 이 그룹은 파키스탄과 아프가니스탄의 피해자를 표적으로 삼는 .NET 기반 백도어인 Firebird 와 연결되었습니다.
Tanzeem 맬웨어의 정확한 대상은 아직 불확실하지만, 이 그룹은 내부 위협으로 여겨지는 정보를 수집하는 것을 목표로 하고 있는 것으로 의심됩니다.
기술 활용: 합법적 플랫폼의 남용
Tanzeem 맬웨어와 관련된 가장 주목할 만한 전술 중 하나는 합법적인 고객 참여 플랫폼인 OneSignal을 사용하는 것입니다. 일반적으로 푸시 알림, 앱 내 메시지 및 기타 커뮤니케이션 도구에 사용되지만, 연구자들은 이 플랫폼이 추가 맬웨어를 배포하는 피싱 링크를 보내는 데 오용되었다고 생각합니다.
해로운 의도를 가진 가짜 기능
설치 시, Tanzeem 애플리케이션은 가짜 채팅 인터페이스를 표시하여 피해자에게 '채팅 시작' 버튼을 클릭하도록 촉구합니다. 그런 다음 애플리케이션은 사용자에게 Accessibility Services API에 대한 권한을 부여하도록 요청합니다. 이러한 권한을 통해 애플리케이션은 다양한 안전하지 않은 작업을 수행할 수 있습니다.
제어권 획득: 악용된 권한
Tanzeem 애플리케이션은 여러 가지 민감한 권한에 대한 액세스를 요청하여 다음을 수행할 수 있습니다.
- 통화 기록, 연락처 목록, SMS 메시지를 수집합니다.
- 정확한 사용자 위치를 추적합니다.
- 계정 세부정보와 외부 저장소 파일에 접근합니다.
이러한 권한을 통해 애플리케이션은 민감한 데이터를 수집하고 전송할 수 있으며, 이로 인해 사용자의 개인 정보가 심각하게 침해될 수 있습니다.
지속성 보장: 전술로서의 푸시 알림
Tanzeem 맬웨어의 독특한 특징은 추가 안드로이드 맬웨어 설치를 장려하기 위해 푸시 알림을 사용한다는 것입니다. 이 접근 방식은 맬웨어의 지속성을 향상시킬 뿐만 아니라 DoNot Team이 국가적 이익을 위해 접근을 유지하고 정보를 수집하려는 노력에서 진화하는 전략을 강조합니다.
Tanzeem 맬웨어는 DoNot 팀이 기존 플랫폼과 권한을 활용하여 작업을 실행하는 데 있어 수완을 발휘하는 모습을 잘 보여줍니다. 이러한 공격의 표적적 특성과 사용된 고급 전술은 사이버 위협의 끊임없이 진화하는 환경을 상기시켜줍니다. 이러한 과제를 헤쳐나가는 데는 경계하고 신중함이 중요합니다.
