Mobilný malvér Tanzeem
Tím DoNot, známy aktér hrozieb, bol pripojený k novému malvéru Android identifikovanému ako Tanzeem a Tanzeem Update. Tieto hrozby odhalené v októbri a decembri 2024 sú súčasťou vysoko cielených kybernetických útokov. Napriek malým odchýlkam v používateľskom rozhraní obe aplikácie zdieľajú takmer identické funkcie.
Aplikácie, ktoré sú účtované ako chatovacie aplikácie, po nainštalovaní prestanú fungovať a po udelení požadovaných povolení sa vypnú. Ich dizajn naznačuje zameranie na konkrétnych jednotlivcov alebo skupiny, potenciálne zamerané na domáce aj medzinárodné subjekty.
Obsah
Rozbaľte pôvod a historické operácie tímu DoNot
Tím DoNot, známy tiež ako APT-C-35, Origami Elephant, SECTOR02 a Viceroy Tiger, pôsobí z Indie. Skupina už v minulosti používala e-maily typu spear-phishing a malvér Android na zhromažďovanie cenných informácií. V októbri 2023 bola skupina prepojená s Firebirdom , backdoorom založeným na .NET, ktorý sa zameriava na obete v Pakistane a Afganistane.
Zatiaľ čo presné ciele malvéru Tanzeem zostávajú nejasné, skupina je podozrivá, že sa zameriava na zhromažďovanie informácií o vnímaných interných hrozbách.
Využívanie technológie: Zneužívanie legitímnych platforiem
Jednou z najvýznamnejších taktík spojených s malvérom Tanzeem je použitie OneSignal, legitímnej platformy na zapojenie zákazníkov. Hoci sa platforma zvyčajne používa na oznámenia push, správy v aplikácii a ďalšie komunikačné nástroje, vedci sa domnievajú, že bola zneužitá na odosielanie phishingových odkazov, ktoré nasadzujú ďalší malvér.
Falošné funkcie so škodlivým úmyslom
Po inštalácii aplikácia Tanzeem zobrazí falošné rozhranie chatu, ktoré vyzýva obete, aby klikli na tlačidlo „Začať chat“. Aplikácia potom vyzve používateľov, aby udelili povolenia pre rozhranie Accessibility Services API. S týmito povoleniami môže aplikácia vykonávať rôzne nebezpečné akcie.
Získanie kontroly: Využitie povolení
Aplikácia Tanzeem vyžaduje prístup k niekoľkým citlivým povoleniam, ktoré jej umožňujú:
- Zbierajte protokoly hovorov, zoznamy kontaktov a SMS správy.
- Sledujte presné polohy používateľov.
- Získajte prístup k podrobnostiam účtu a súborom externého úložiska.
Tieto povolenia umožňujú aplikácii zhromažďovať a prenášať citlivé údaje, čím výrazne ohrozujú súkromie používateľov.
Zabezpečenie vytrvalosti: Push Notifications ako taktika
Charakteristickým rysom malvéru Tanzeem je jeho používanie upozornení push na podporu inštalácie ďalšieho škodlivého softvéru pre Android. Tento prístup nielen zvyšuje perzistenciu malvéru, ale tiež podčiarkuje vyvíjajúcu sa taktiku tímu DoNot v ich snahe zachovať prístup a zhromažďovať informácie pre národné záujmy.
Malvér Tanzeem zdôrazňuje vynaliezavosť tímu DoNot pri využívaní existujúcich platforiem a povolení na vykonávanie ich operácií. Cielený charakter týchto útokov a použité pokročilé taktiky nám pripomínajú neustále sa vyvíjajúce prostredie kybernetických hrozieb. Pri zvládaní takýchto výziev je rozhodujúce zostať ostražitý a opatrný.
