Tanzeem Mobile Malware
Ekipa DoNot, znana grožnja, je bila povezana z novo zlonamerno programsko opremo za Android, identificirano kot Tanzeem in Tanzeem Update. Te grožnje, odkrite oktobra in decembra 2024, so del zelo ciljno usmerjenih kibernetskih napadov. Kljub manjšim razlikam v uporabniškem vmesniku imata obe aplikaciji skoraj enake funkcije.
Aplikacije, ki se zaračunavajo kot aplikacije za klepet, po namestitvi prenehajo delovati in se izklopijo, ko uporabnik podeli zahtevana dovoljenja. Njihova zasnova namiguje na osredotočenost na določene posameznike ali skupine, ki lahko ciljajo na domače in mednarodne subjekte.
Kazalo
Razpakiranje izvora in zgodovinskih operacij ekipe DoNot Team
Znana tudi kot APT-C-35, Origami Elephant, SECTOR02 in Viceroy Tiger, ekipa DoNot naj bi delovala iz Indije. Skupina ima zgodovino uporabe e-pošte za lažno predstavljanje in zlonamerne programske opreme Android za zbiranje dragocenih obveščevalnih podatkov. Oktobra 2023 je bila skupina povezana s Firebirdom , backdoorjem, ki temelji na .NET in cilja na žrtve v Pakistanu in Afganistanu.
Medtem ko natančni cilji zlonamerne programske opreme Tanzeem ostajajo nejasni, je skupina osumljena, da namerava zbirati obveščevalne podatke o zaznanih notranjih grožnjah.
Izkoriščanje tehnologije: zloraba zakonitih platform
Ena najbolj opaznih taktik, povezanih z zlonamerno programsko opremo Tanzeem, je uporaba OneSignal, zakonite platforme za sodelovanje s strankami. Medtem ko se običajno uporablja za potisna obvestila, sporočila v aplikaciji in druga komunikacijska orodja, raziskovalci menijo, da je bila platforma zlorabljena za pošiljanje lažnih povezav, ki uporabljajo dodatno zlonamerno programsko opremo.
Lažne funkcije s škodljivim namenom
Po namestitvi aplikacija Tanzeem prikaže lažni vmesnik za klepet in poziva žrtve, naj kliknejo gumb »Začni klepet«. Aplikacija nato pozove uporabnike, naj odobrijo dovoljenja API-ju storitev dostopnosti. S temi dovoljenji lahko aplikacija izvede vrsto nevarnih dejanj.
Pridobivanje nadzora: izkoriščena dovoljenja
Aplikacija Tanzeem zahteva dostop do več občutljivih dovoljenj, kar ji omogoča:
- Zbirajte dnevnike klicev, sezname stikov in sporočila SMS.
- Sledite natančnim lokacijam uporabnikov.
- Dostopajte do podrobnosti računa in zunanjih datotek za shranjevanje.
Ta dovoljenja omogočajo aplikaciji, da zbira in prenaša občutljive podatke, kar znatno ogroža zasebnost uporabnikov.
Zagotavljanje vztrajnosti: potisna obvestila kot taktika
Posebnost zlonamerne programske opreme Tanzeem je uporaba potisnih obvestil za spodbujanje namestitve dodatne zlonamerne programske opreme Android. Ta pristop ne samo poveča obstojnost zlonamerne programske opreme, ampak tudi poudarja razvijajočo se taktiko ekipe DoNot Team v njihovih prizadevanjih za ohranitev dostopa in zbiranje obveščevalnih podatkov za nacionalne interese.
Zlonamerna programska oprema Tanzeem poudarja iznajdljivost ekipe DoNot Team pri izkoriščanju obstoječih platform in dovoljenj za izvajanje njihovih operacij. Ciljna narava teh napadov in uporabljene napredne taktike nas spominjajo na nenehno razvijajočo se pokrajino kibernetskih groženj. Pri obvladovanju takšnih izzivov je ključnega pomena ostati čuječ in previden.
