Tanzeem mobil skadelig programvare
DoNot-teamet, en kjent trusselaktør, har blitt koblet til ny Android-skadevare identifisert som Tanzeem og Tanzeem Update. Disse truslene, som ble avdekket i oktober og desember 2024, er en del av svært målrettede cyberangrep. Til tross for deres små variasjoner i brukergrensesnitt, deler begge appene nesten identiske funksjoner.
Fakturert som chat-applikasjoner slutter applikasjonene å fungere når de er installert, og avsluttes etter at brukeren gir de nødvendige tillatelsene. Designet deres antyder et fokus på spesifikke individer eller grupper, potensielt rettet mot både nasjonale og internasjonale enheter.
Innholdsfortegnelse
Pakker ut DoNot Teams opprinnelse og historiske operasjoner
Også kjent som APT-C-35, Origami Elephant, SECTOR02 og Viceroy Tiger, antas DoNot-teamet å operere fra India. Gruppen har en historie med å bruke spear-phishing-e-poster og Android-malware for å samle verdifull intelligens. I oktober 2023 ble gruppen knyttet til Firebird , en .NET-basert bakdør rettet mot ofre i Pakistan og Afghanistan.
Mens de eksakte målene for Tanzeem-malwaren fortsatt er uklare, mistenkes gruppen for å ha som mål å samle etterretning om antatte interne trusler.
Utnyttelse av teknologi: Misbruk av legitime plattformer
En av de mest bemerkelsesverdige taktikkene knyttet til Tanzeem malware er bruken av OneSignal, en legitim kundeengasjementplattform. Selv om den vanligvis brukes til push-varsler, meldinger i appen og andre kommunikasjonsverktøy, mener forskere at plattformen ble misbrukt til å sende phishing-lenker som distribuerer ytterligere skadelig programvare.
Falske funksjoner med skadelig hensikt
Ved installasjon viser Tanzeem-applikasjonen et falskt chat-grensesnitt, som oppfordrer ofrene til å klikke på en "Start Chat"-knapp. Applikasjonen ber deretter brukere om å gi tillatelser til Accessibility Services API. Med disse tillatelsene kan applikasjonen utføre en rekke usikre handlinger.
Få kontroll: Tillatelsene utnyttet
Tanzeem-applikasjonen ber om tilgang til flere sensitive tillatelser, slik at den kan:
- Samle samtalelogger, kontaktlister og SMS-meldinger.
- Spor nøyaktige brukerplasseringer.
- Få tilgang til kontodetaljer og eksterne lagringsfiler.
Disse tillatelsene lar applikasjonen samle og overføre sensitive data, noe som i betydelig grad kompromitterer brukernes personvern.
Sikre utholdenhet: Push-varsler som en taktikk
Et særtrekk ved Tanzeem-malware er bruken av push-varsler for å oppmuntre til installasjon av ytterligere Android-skadevare. Denne tilnærmingen forbedrer ikke bare skadevarens utholdenhet, men understreker også den utviklende taktikken til DoNot-teamet i deres forsøk på å opprettholde tilgang og samle etterretning for nasjonale interesser.
Tanzeem malware fremhever DoNot-teamets oppfinnsomhet når det gjelder å utnytte eksisterende plattformer og tillatelser for å utføre operasjonene deres. Den målrettede naturen til disse angrepene og den avanserte taktikken som brukes minner oss om det stadig utviklende landskapet av cybertrusler. Å være årvåken og forsiktig er avgjørende for å navigere i slike utfordringer.
