Tanzeem mobiele malware
Het DoNot Team, een bekende dreigingsactor, is in verband gebracht met nieuwe Android-malware die is geïdentificeerd als Tanzeem en Tanzeem Update. Deze bedreigingen, ontdekt in oktober en december 2024, maken deel uit van zeer gerichte cyberaanvallen. Ondanks hun kleine verschillen in gebruikersinterface, delen beide apps vrijwel identieke functionaliteiten.
De applicaties worden gefactureerd als chatapplicaties, maar werken niet meer zodra ze zijn geïnstalleerd. Ze worden afgesloten nadat de gebruiker de vereiste toestemmingen heeft verleend. Hun ontwerp suggereert een focus op specifieke personen of groepen, die mogelijk gericht zijn op zowel binnenlandse als internationale entiteiten.
Inhoudsopgave
Uitpakken van de oorsprong en historische activiteiten van DoNot Team
Het DoNot Team, ook bekend als APT-C-35, Origami Elephant, SECTOR02 en Viceroy Tiger, zou vanuit India opereren. De groep heeft een geschiedenis van het gebruik van spear-phishing-e-mails en Android-malware om waardevolle informatie te verzamelen. In oktober 2023 werd de groep gelinkt aan Firebird , een op .NET gebaseerde backdoor die slachtoffers in Pakistan en Afghanistan target.
Hoewel de exacte doelen van de Tanzeem-malware nog onduidelijk zijn, wordt vermoed dat de groep informatie wil verzamelen over vermeende interne bedreigingen.
Technologie exploiteren: het misbruik van legitieme platforms
Een van de meest opvallende tactieken die verband houden met de Tanzeem-malware is het gebruik van OneSignal, een legitiem platform voor klantbetrokkenheid. Hoewel het doorgaans wordt gebruikt voor pushmeldingen, in-app-berichten en andere communicatietools, geloven onderzoekers dat het platform is misbruikt om phishinglinks te versturen die extra malware implementeren.
Nepfuncties met schadelijke bedoelingen
Na installatie toont de Tanzeem-applicatie een nepchatinterface, die slachtoffers aanspoort om op de knop 'Start Chat' te klikken. De applicatie vraagt gebruikers vervolgens om toestemming te verlenen aan de Accessibility Services API. Met deze toestemmingen kan de applicatie een verscheidenheid aan onveilige acties uitvoeren.
Controle verkrijgen: de misbruikte rechten
De Tanzeem-applicatie vraagt om toegang tot verschillende gevoelige machtigingen, waardoor het mogelijk is om:
- Verzamel oproeplogboeken, contactlijsten en sms-berichten.
- Volg de precieze locaties van gebruikers.
- Krijg toegang tot accountgegevens en externe opslagbestanden.
Met deze machtigingen kan de applicatie gevoelige gegevens verzamelen en verzenden, wat de privacy van de gebruiker aanzienlijk in gevaar brengt.
Zorgen voor persistentie: Pushmeldingen als tactiek
Een onderscheidend kenmerk van de Tanzeem-malware is het gebruik van pushmeldingen om de installatie van extra Android-malware aan te moedigen. Deze aanpak verbetert niet alleen de persistentie van de malware, maar onderstreept ook de evoluerende tactieken van het DoNot Team in hun pogingen om toegang te behouden en inlichtingen te verzamelen voor nationale belangen.
De Tanzeem-malware benadrukt de vindingrijkheid van het DoNot-team bij het benutten van bestaande platforms en machtigingen om hun operaties uit te voeren. De gerichte aard van deze aanvallen en de geavanceerde tactieken die worden gebruikt, herinneren ons aan het voortdurend veranderende landschap van cyberdreigingen. Waakzaam en voorzichtig blijven is cruciaal bij het navigeren door dergelijke uitdagingen.
