Tanzeem Mobile Malware
Zespół DoNot Team, znany aktor zagrożeń, został powiązany z nowym złośliwym oprogramowaniem dla systemu Android zidentyfikowanym jako Tanzeem i Tanzeem Update. Te zagrożenia, odkryte w październiku i grudniu 2024 r., są częścią wysoce ukierunkowanych cyberataków. Pomimo niewielkich różnic w interfejsie użytkownika, obie aplikacje mają niemal identyczne funkcjonalności.
Reklamowane jako aplikacje czatu, aplikacje przestają działać po zainstalowaniu, wyłączając się po udzieleniu przez użytkownika wymaganych uprawnień. Ich projekt sugeruje skupienie się na konkretnych osobach lub grupach, potencjalnie atakując podmioty krajowe i międzynarodowe.
Spis treści
Odkrywanie początków i historycznych operacji zespołu DoNot
Znany również jako APT-C-35, Origami Elephant, SECTOR02 i Viceroy Tiger, DoNot Team prawdopodobnie działa z Indii. Grupa ma historię wykorzystywania e-maili typu spear-phishing i złośliwego oprogramowania na Androida do zbierania cennych informacji wywiadowczych. W październiku 2023 r. grupa została powiązana z Firebird , backdoorem opartym na .NET, który atakuje ofiary w Pakistanie i Afganistanie.
Chociaż dokładne cele złośliwego oprogramowania Tanzeem pozostają niejasne, podejrzewa się, że grupa ma na celu zbieranie informacji wywiadowczych na temat domniemanych zagrożeń wewnętrznych.
Wykorzystywanie technologii: nadużywanie legalnych platform
Jedną z najbardziej znanych taktyk związanych ze złośliwym oprogramowaniem Tanzeem jest wykorzystanie OneSignal, legalnej platformy do obsługi klienta. Podczas gdy platforma jest zazwyczaj używana do powiadomień push, wiadomości w aplikacji i innych narzędzi komunikacyjnych, badacze uważają, że była niewłaściwie wykorzystywana do wysyłania linków phishingowych, które uruchamiają dodatkowe złośliwe oprogramowanie.
Fałszywe funkcje ze szkodliwym zamiarem
Po zainstalowaniu aplikacja Tanzeem wyświetla fałszywy interfejs czatu, namawiając ofiary do kliknięcia przycisku „Rozpocznij czat”. Następnie aplikacja prosi użytkowników o udzielenie uprawnień do interfejsu API usług ułatwień dostępu. Dzięki tym uprawnieniom aplikacja może wykonywać wiele niebezpiecznych działań.
Zdobywanie kontroli: Wykorzystywane uprawnienia
Aplikacja Tanzeem żąda dostępu do kilku poufnych uprawnień, które umożliwiają jej:
- Gromadź rejestry połączeń, listy kontaktów i wiadomości SMS.
- Śledź dokładną lokalizację użytkowników.
- Uzyskaj dostęp do szczegółów konta i plików pamięci zewnętrznej.
Uprawnienia te pozwalają aplikacji na gromadzenie i przesyłanie poufnych danych, co znacznie narusza prywatność użytkownika.
Zapewnienie trwałości: powiadomienia push jako taktyka
Cechą charakterystyczną złośliwego oprogramowania Tanzeem jest korzystanie z powiadomień push w celu zachęcenia do instalacji dodatkowego złośliwego oprogramowania dla systemu Android. Takie podejście nie tylko zwiększa trwałość złośliwego oprogramowania, ale także podkreśla ewoluującą taktykę zespołu DoNot w ich wysiłkach na rzecz utrzymania dostępu i gromadzenia informacji wywiadowczych dla interesów narodowych.
Oprogramowanie złośliwe Tanzeem podkreśla pomysłowość DoNot Team w wykorzystywaniu istniejących platform i uprawnień do wykonywania operacji. Celowy charakter tych ataków i zaawansowane taktyki stosowane przypominają nam o ciągle ewoluującym krajobrazie cyberzagrożeń. Pozostanie czujnym i ostrożnym jest kluczowe w radzeniu sobie z takimi wyzwaniami.
