Вредоносное ПО для мобильных устройств Tanzeem
DoNot Team, известный злоумышленник, был связан с новым вредоносным ПО для Android, идентифицированным как Tanzeem и Tanzeem Update. Эти угрозы, обнаруженные в октябре и декабре 2024 года, являются частью высоконаправленных кибератак. Несмотря на небольшие различия в пользовательском интерфейсе, оба приложения имеют практически идентичные функции.
Заявленные как приложения для чата, эти приложения перестают функционировать после установки, закрываясь после того, как пользователь предоставит необходимые разрешения. Их дизайн намекает на фокусировку на конкретных лицах или группах, потенциально нацеленных как на внутренние, так и на международные организации.
Оглавление
Раскрытие истории происхождения и деятельности DoNot Team
Также известная как APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger, группа DoNot Team , как полагают, действует из Индии. Группа имеет историю использования фишинговых писем и вредоносного ПО для Android для сбора ценных разведданных. В октябре 2023 года группа была связана с Firebird , бэкдором на основе .NET, нацеленным на жертв в Пакистане и Афганистане.
Хотя точные цели вредоносного ПО Tanzeem остаются неясными, предполагается, что группа стремится собирать разведданные о предполагаемых внутренних угрозах.
Эксплуатация технологий: злоупотребление законными платформами
Одной из самых заметных тактик, связанных с вредоносным ПО Tanzeem, является использование OneSignal, законной платформы взаимодействия с клиентами. Хотя обычно она используется для push-уведомлений, сообщений в приложениях и других инструментов коммуникации, исследователи полагают, что платформа была использована не по назначению для отправки фишинговых ссылок, которые развертывают дополнительное вредоносное ПО.
Поддельные функции с вредоносным намерением
После установки приложение Tanzeem отображает поддельный интерфейс чата, призывая жертв нажать кнопку «Начать чат». Затем приложение предлагает пользователям предоставить разрешения API Accessibility Services. С этими разрешениями приложение может выполнять различные небезопасные действия.
Получение контроля: эксплуатация разрешений
Приложение Tanzeem запрашивает доступ к нескольким конфиденциальным разрешениям, что позволяет ему:
- Собирайте журналы вызовов, списки контактов и SMS-сообщения.
- Отслеживайте точное местоположение пользователей.
- Доступ к данным учетной записи и файлам внешнего хранилища.
Эти разрешения позволяют приложению собирать и передавать конфиденциальные данные, что существенно ставит под угрозу конфиденциальность пользователя.
Обеспечение настойчивости: push-уведомления как тактика
Отличительной чертой вредоносного ПО Tanzeem является использование push-уведомлений для поощрения установки дополнительных вредоносных программ для Android. Такой подход не только повышает устойчивость вредоносного ПО, но и подчеркивает развивающуюся тактику DoNot Team в их усилиях по сохранению доступа и сбору разведданных в интересах страны.
Вредоносное ПО Tanzeem подчеркивает изобретательность DoNot Team в использовании существующих платформ и разрешений для выполнения своих операций. Целенаправленный характер этих атак и применяемая передовая тактика напоминают нам о постоянно меняющемся ландшафте киберугроз. Сохранение бдительности и осторожности имеет решающее значение в преодолении таких вызовов.
