Tanzeem mobil skadlig programvara
DoNot-teamet, en känd hotaktör, har kopplats till ny skadlig programvara för Android som identifierats som Tanzeem och Tanzeem Update. Dessa hot, som avslöjades i oktober och december 2024, är en del av mycket riktade cyberattacker. Trots sina små variationer i användargränssnittet delar båda apparna nästan identiska funktioner.
Debiteras som chattapplikationer, applikationerna upphör att fungera när de väl har installerats och stängs av efter att användaren har beviljat de nödvändiga behörigheterna. Deras design antyder ett fokus på specifika individer eller grupper, potentiellt inriktat på både inhemska och internationella enheter.
Innehållsförteckning
Packar upp DoNot Teams ursprung och historiska verksamhet
Även känd som APT-C-35, Origami Elephant, SECTOR02 och Viceroy Tiger, tros DoNot-teamet arbeta från Indien. Gruppen har en historia av att använda spear-phishing-e-postmeddelanden och skadlig programvara för Android för att samla in värdefull intelligens. I oktober 2023 kopplades gruppen till Firebird , en .NET-baserad bakdörr som riktar sig mot offer i Pakistan och Afghanistan.
Även om de exakta målen för Tanzeem skadlig programvara förblir oklara, misstänks gruppen för att försöka samla in underrättelser om upplevda interna hot.
Utnyttja teknik: Missbruket av legitima plattformar
En av de mest anmärkningsvärda taktikerna förknippade med Tanzeem malware är dess användning av OneSignal, en legitim plattform för kundengagemang. Även om den vanligtvis används för push-meddelanden, meddelanden i appen och andra kommunikationsverktyg, tror forskare att plattformen missbrukades för att skicka nätfiske-länkar som distribuerar ytterligare skadlig programvara.
Falska funktioner med skadlig avsikt
Vid installationen visar Tanzeem-applikationen ett falskt chattgränssnitt, som uppmanar offren att klicka på en "Starta chatt"-knapp. Applikationen uppmanar sedan användare att ge behörigheter till Accessibility Services API. Med dessa behörigheter kan applikationen utföra en mängd osäkra åtgärder.
Få kontroll: Behörigheterna utnyttjas
Tanzeem-applikationen begär åtkomst till flera känsliga behörigheter, vilket gör att den kan:
- Samla samtalsloggar, kontaktlistor och SMS.
- Spåra exakta användarplatser.
- Få åtkomst till kontoinformation och externa lagringsfiler.
Dessa behörigheter tillåter applikationen att samla in och överföra känslig data, vilket avsevärt äventyrar användarnas integritet.
Säkerställa uthållighet: Push-meddelanden som en taktik
En utmärkande egenskap hos Tanzeem skadlig programvara är dess användning av push-meddelanden för att uppmuntra installation av ytterligare skadlig programvara för Android. Detta tillvägagångssätt förbättrar inte bara skadlig programvaras uthållighet utan understryker också DoNot-teamets utvecklande taktik i deras ansträngningar att upprätthålla åtkomst och samla in intelligens för nationella intressen.
Tanzeem skadlig kod framhäver DoNot-teamets påhittighet när det gäller att utnyttja befintliga plattformar och behörigheter för att utföra sina operationer. Den riktade karaktären hos dessa attacker och den avancerade taktiken som används påminner oss om det ständigt föränderliga landskapet av cyberhot. Att förbli vaksam och försiktig är avgörande för att navigera i sådana utmaningar.
