Tanzeem Mobile Malware
O DoNot Team, um conhecido agente de ameaças, foi conectado a um novo malware para Android identificado como Tanzeem e Tanzeem Update. Essas ameaças, descobertas em outubro e dezembro de 2024, fazem parte de ataques cibernéticos altamente direcionados. Apesar de suas pequenas variações na interface do usuário, ambos os aplicativos compartilham funcionalidades quase idênticas.
Anunciados como aplicativos de bate-papo, os aplicativos param de funcionar uma vez instalados, fechando após o usuário conceder as permissões necessárias. Seu design sugere um foco em indivíduos ou grupos específicos, potencialmente visando entidades nacionais e internacionais.
Índice
Desvendando as Origens e Operações Históricas do DoNot Team
Também conhecido como APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, acredita-se que o DoNot Team opere da Índia. O grupo tem um histórico de uso de e-mails de spear-phishing e malware para Android para coletar inteligência valiosa. Em outubro de 2023, o grupo foi vinculado ao Firebird, um backdoor baseado em .NET visando vítimas no Paquistão e no Afeganistão.
Embora os alvos exatos do malware Tanzeem ainda não estejam claros, suspeita-se que o grupo tenha como objetivo coletar informações sobre ameaças internas percebidas.
Explorando Tecnologia: O Abuso de Plataformas Legítimas
Uma das táticas mais notáveis associadas ao malware Tanzeem é o uso do OneSignal, uma plataforma legítima de engajamento do cliente. Embora normalmente usada para notificações push, mensagens no aplicativo e outras ferramentas de comunicação, os pesquisadores acreditam que a plataforma foi mal utilizada para enviar links de phishing que implantam malware adicional.
Recursos Falsos com Intenção Prejudicial
Após a instalação, o aplicativo Tanzeem exibe uma interface de bate-papo falsa, pedindo às vítimas que cliquem em um botão 'Iniciar bate-papo'. O aplicativo então solicita que os usuários concedam permissões para a API de Serviços de Acessibilidade. Com essas permissões, o aplicativo pode executar uma variedade de ações inseguras.
Obtendo o Controle: As Permissões Exploradas
O aplicativo Tanzeem solicita acesso a diversas permissões confidenciais, permitindo que ele:
- Colete registros de chamadas, listas de contatos e mensagens SMS.
- Rastreie localizações precisas dos usuários.
- Acesse detalhes da conta e arquivos de armazenamento externo.
- Capture gravações de tela.
- Conecte-se a um servidor de comando e controle (C2).
Essas permissões permitem que o aplicativo colete e transmita dados confidenciais, comprometendo significativamente a privacidade do usuário.
Garantindo Persistência: Notificações como Tática
Uma característica distintiva do malware Tanzeem é o uso de notificações push para encorajar a instalação de malware adicional para Android. Essa abordagem não apenas aumenta a persistência do malware, mas também ressalta as táticas em evolução da DoNot Team em seus esforços para manter o acesso e reunir inteligência para interesses nacionais.
O malware Tanzeem destaca a desenvoltura da DoNot Team em alavancar plataformas e permissões existentes para executar suas operações. A natureza direcionada desses ataques e as táticas avançadas empregadas nos lembram do cenário em constante evolução das ameaças cibernéticas. Permanecer vigilante e cauteloso é crucial para navegar por tais desafios.
